- Certificate Revocation Incident | DigiCert
- DigiCert will be revoking certificates that did not have proper Domain Control Verification (DCV). Before issuing a certificate to a customer, DigiCert validates the customer’s control or ownership over the domain name for which they are requesting a certificate using one of several methods approved by the CA/Browser Forum (CABF). One of these methods relies on the customer adding a DNS CNAME record which includes a random value provided to them by DigiCert. DigiCert then does a DNS lookup for the domain and verifies the same random value, thereby proving domain control by the customer.
GCP 主控台
DigiCert 宣布 (http://www.digicert.com/support/certificate-revocation-incident) 他們將撤銷某些在沒有適當的網域控制驗證的情況下發行的憑證。如果您受到此問題的影響,DigiCert 將已將通知發送至您的聯絡電子郵件地址。登入 CertCentral 時,您會看到 CNAME 撤銷事件橫幅。若要重新發佈/重新加密您的憑證,請參閱 DigiCert 宣佈 (http://www.digicert.com/support/certificate-revocation-incident)。重新發佈憑證後,請按照這些指示 (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs) 更新您的 Google Cloud HTTP(S) 負載平衡器組態。如果您需要其他協助,請使用 https://cloud.google.com/support 聯絡 Google Cloud 支援
登入 GCP 時,出現了警告/警示訊息。根據提供的連結進行確認並總結後,整體內容是 DigiCert 發行的 TLS 憑證中,發現部分 (0.4%) 存在問題,因此將撤銷這些憑證。首先,DigiCert 表示僅佔 0.4%,因此看起來問題不大。
大多數情況下,使用雲端服務的管理員應該大多數都使用各雲端供應商提供的 TLS 憑證或 Let's Encrypt 憑證。其他情況可能是內部部署或自訂使用憑證,因此應該不至於造成網際網路大規模癱瘓。
詳細內容大致如下:
1. 問題的原因
DigiCert 在使用 DNS CNAME 記錄進行網域驗證時,發生了不新增底線 (_) 的錯誤。此錯誤從 2019 年 8 月持續到最近,系統現代化過程中遺漏重要的安全程序是導致此錯誤的原因。
2. 影響範圍
DigiCert 發行的憑證中,約有 0.4% 受此問題影響。從比例來看,可能看起來很小,但考慮到全球使用的憑證數量,可能會影響相當數量的網站。
3. 應採取的措施
受影響的憑證必須在 24 小時內撤銷並重新發行。出於安全原因,這項措施非常緊急。
4. 使用者應採取的措施
- 登入 CertCentral 帳戶以確認受影響的憑證。
- 建立新的 CSR (憑證簽署要求)。
- 重新發佈並安裝憑證。
5. 雲端服務使用者注意事項
如果 GCP 或其他雲端服務使用者使用 DigiCert 的自訂憑證,則可能會直接受到此問題的影響,因此必須立即採取措施。如果使用雲端供應商的預設憑證或 Let's Encrypt,則應該不會受到直接影響。
6. 未來展望
此事件再次提醒我們數位憑證的重要性與複雜性。預計未來憑證機構將會執行更嚴格的驗證程序與系統檢查。
總之,這次 DigiCert 憑證問題雖然不至於造成整個網際網路的混亂,但對於受影響的網站管理員來說卻是一個非常重要的議題。特別是 GCP 等雲端服務使用自訂 SSL/TLS 憑證的情況下,務必立即確認憑證並採取必要的措施。透過此舉,可以維護網站安全並為使用者提供安全的服務。
评论0