DigiCert массово отзывает SSL/TLS сертификаты
Следующие сутки станут судьбоносными для миллиона веб-сайтов.
DigiCert, один из ведущих центров сертификации, предоставляющий SSL/TLS сертификаты, включая Domain Validated (DV), Organization Validated (OV) и Extended Validation (EV), объявил о массовом отзыве SSL/TLS сертификатов из-за ошибки в проверке доменов. В результате этой ошибки, затрагивающей примерно 0,4% всех проверок доменов, проведённых компанией с августа 2019 по июнь 2024 года, клиенты должны заново выпустить сертификаты в течение 24 часов.
DigiCert сообщает, что причиной проблемы стала ошибка в процессе проверки доменов. При выпуске сертификатов компания должна была убедиться в принадлежности домена клиенту, используя метод проверки через DNS-записи. Данный метод включал добавление случайного значения в DNS CNAME-запись и выполнение DNS-запроса для подтверждения соответствия значений.
Согласно требованиям CABF, случайное значение должно быть отделено подчёркиванием для предотвращения коллизий между доменом и субдоменом. Однако, как выяснилось, в некоторых случаях подчёркивание не добавлялось. «Это затронуло примерно 0,4% проверок доменов, проведённых с августа 2019 по июнь 2024 года. По строгим правилам CABF, сертификаты с ошибками в проверке доменов должны быть отозваны в течение 24 часов без исключений», — пояснили в DigiCert.
Ошибка возникла из-за обновления системы в августе 2019 года, которое привело к удалению автоматического добавления подчёркивания в некоторых путях проверки. Проблема оставалась незамеченной до июня 2024 года, когда проект по улучшению пользовательского интерфейса исправил генерацию случайных значений.
Компания предприняла меры для предотвращения повторения подобных инцидентов: пересмотрела и консолидировала генераторы случайных значений, упростила пользовательский интерфейс, увеличила тестовое покрытие для сценариев на основе соответствия и планирует открыть исходный код DCV для общественного обзора к 1 ноября 2024 года.
Клиентам необходимо войти в свой аккаунт в DigiCert CertCentral, чтобы идентифицировать затронутые сертификаты. Затем нужно создать новый запрос на подпись сертификата (CSR) для домена, пройти проверку домена и переиздать сертификаты через портал CertCentral.
Если процесс не будет завершён в течение 24 часов, это приведёт к потере соединения для сайта или приложения. Вопрос о количестве затронутых сертификатов остаётся открытым, так как DigiCert пока не дала комментариев по этому поводу.