DigiCert, glavno tijelo za izdavanje certifikata, za opoziv na hiljade SSL/TLS certifikata zbog greške u verifikaciji kontrole domene. Ovo bi moglo utjecati na mnoge web stranice.
Kompanija je otkrila da je previd u procesu verifikacije zasnovan na DNS-u uticao na približno 0,4% njenih primjenjivih validacija domena.
Problem proizlazi iz neuspjeha DigiCert-a da uključi prefiks donje crte u nasumičnu vrijednost koja se koristi za provjeru valjanosti domene zasnovane na CNAME-u.
Previd je mali, ali krši zbog toga pravila koja je postavio CA/Browser Forum (CABF) za propisnu verifikaciju kontrole domena.
Osnovni zahtjevi CABF-a nalažu da kada se koriste DNS CNAME zapisi za provjeru valjanosti domene, slučajna vrijednost mora imati prefiks donje crte u određenim slučajevima.
Ovaj zahtjev osigurava da se poddomena za provjeru valjanosti ne može sukobiti sa stvarnim imenom domene, iako su šanse za takvu koliziju izuzetno male.
DigiCert je obavijestio pogođene kupce, koji sada moraju zamijeniti svoje certifikate u roku od 24 sata. Ovaj hitni rok je zbog pravila CABF-a koja zahtijevaju da se neusklađeni certifikati ponište u roku od 24 sata od otkrivanja, bez izuzetka.
“CABF smatra da je svaki problem s validacijom domena ozbiljan problem i zahtijeva hitnu akciju. Nepoštivanje može dovesti do nepovjerenja u Certifikacijsko tijelo. Kao takvi, moramo opozvati sve ugrožene certifikate u roku od 24 sata od otkrivanja. Nisu dozvoljena nikakva produženja ili kašnjenja. Izvinjavamo se ako vam ovo prouzrokuje smetnje u poslovanju i spremni smo da vam pomognemo da potvrdite svoju domenu i odmah izdamo zamjenske certifikate,” rekao je Digicert .
Ugroženim kupcima se savjetuje da:
- Prijavite se na njihov DigiCert CertCentral nalog
- Identifikujte zahvaćene sertifikate
- Ponovo izdajte ili ponovo ključajte ugrožene certifikate
- Dovršite sve dodatne potrebne korake validacije
- Instalirajte novoizdane SSL/TLS certifikate
DigiCert je pratio problem do promjena napravljenih u njihovim sistemima validacije domena u avgustu 2019. Napori kompanije na modernizaciji nenamjerno su uklonili ključni korak u svom procesu validacije, koji je ostao neotkriven zbog ograničenja u regresijskom testiranju.
Kako provjeriti opoziv certifikata
Alat za komandnu liniju Certutil : Dostupan u Windowsima, ovaj alat može provjeriti certifikate i CRL-ove.
certutil -f -urlfetch -verify mycertificatefile.cerSlanje OCSP zahtjeva : Koristite alat kao što je OpenSSL da pošaljete OCSP zahtjev na URL dobiven u prethodnom koraku:
openssl ocsp -issuer issuer.crt -cert cert.crt -url <OCSP_URL>
Izvor:Cybersecurity