„DigiCert“ perspėja, kad SSL/TLS sertifikatai bus masiškai atšaukti dėl klaidos, kaip įmonė patikrino, ar klientui priklauso domenas arba jis jį valdo, ir reikalauja, kad paveikti klientai iš naujo išduotų sertifikatus per 24 valandas.
Neaišku, kiek sertifikatų bus atšaukta šio proceso metu, tačiau bendrovė teigia, kad tai turi įtakos maždaug 0,4% taikomų domeno patvirtinimų, kuriuos jie atliko nuo 2019 m. rugpjūčio mėn. iki 2024 m. birželio mėn.
„DigiCert“ yra viena iš žinomų sertifikatų institucijų (CA), teikianti SSL/TLS sertifikatus, įskaitant patvirtintus domenus (DV), patvirtintus organizacijos (OV) ir išplėstinio patvirtinimo (EV) sertifikatus.
Šie sertifikatai naudojami šifruoti ryšį tarp vartotojo ir svetainės ar programos, padidinant saugumą nuo kenkėjiško tinklo stebėjimo ir tarpininkų atakų.
Išduodama domeno sertifikatą, sertifikavimo institucija pirmiausia turi atlikti domeno valdymo patikrinimą (DCV), kad patvirtintų, jog klientui priklauso domenas.
Vienas iš metodų, naudojamų domeno nuosavybės teisei patvirtinti, yra įtraukti eilutę su atsitiktine verte į sertifikato DNS CNAME įrašą ir atlikti domeno DNS paiešką, kad atsitiktinės reikšmės atitiktų.
Pagal CABF bazinius reikalavimus atsitiktinė reikšmė turėtų būti atskirta domeno pavadinimu su pabraukimu. Priešingu atveju kyla domeno ir patvirtinimui naudojamo padomenio susidūrimo rizika.
„Neseniai sužinojome, kad neįtraukėme apatinio brūkšnio priešdėlio su atsitiktine verte, naudojama kai kuriais CNAME patvirtinimo atvejais“, – aiškina „DigiCert“ pranešime.
„Tai paveikė maždaug 0,4 % taikomų domeno patvirtinimų, kuriuos turime. Pagal griežtas CABF taisykles sertifikatai, kurių domeno patvirtinimo problema turi būti atšaukti per 24 valandas, be išimčių.”
Penkerių metų klaida
„DigiCert“ teigia, kad pagrindinė priežastis buvo sistemos atnaujinimas 2019 m. rugpjūčio mėn., dėl kurio kai kuriuose patvirtinimo keliuose buvo pašalintas automatinis pabraukimo brūkšnys.
Ši klaida buvo pastebėta tik neseniai, todėl nuo 2019 m. rugpjūčio mėn. iki 2024 m. birželio mėn. kai kurie patvirtinimai buvo atlikti be pabraukimo priešdėlio.
2024 m. birželio 11 d. įgyvendinant naudotojo patirties tobulinimo projektą buvo išspręsta vis dar neatrasta problema, konsoliduojant atsitiktinių verčių generavimo procesą.
Galų gale, liepos 29 d., „DigiCert“ atrado apatinio brūkšnio trūkumą nedideliame sertifikatų procente, tirdamas atskirą ataskaitą apie atsitiktinių verčių generavimą.
„Neįtraukus apatinio brūkšnio, laikoma, kad kyla pavojus saugumui, nes gali įvykti tikrojo domeno ir patikrinimui naudojamo padomenio susidūrimas“, – paaiškino „DigiCert“.
„Nors susidūrimo tikimybė yra labai maža, nes atsitiktinė reikšmė turi mažiausiai 150 bitų entropijos, tikimybė vis tiek yra.
„DigiCert“ ėmėsi šių veiksmų, kad panašūs incidentai nepasikartotų:
- Peržiūrėjo ir konsolidavo visus atsitiktinių verčių generatorius.
- Supaprastinta naudotojo patirtis, kad nereikėtų rankiniu būdu pridėti apatinio brūkšnio.
- Įterpti atitikties komandos nariai kūrimo sprintuose.
- Išplėsta atitikties scenarijų bandymų aprėptis.
- Planuoja atvirojo kodo DCV bendruomenei peržiūrėti iki 2024 m. lapkričio 1 d.
Dabar klientai turi prisijungti prie savo DigiCert CertCentral paskyros, kad nustatytų paveiktus sertifikatus.
Tada jie turi sugeneruoti naują domeno sertifikato pasirašymo užklausą (CSR), paragindami DigiCert atlikti kitą domeno valdymo patikrinimą.
Kai sertifikato užklausa perduodama DCV, klientai gali pakartotinai išduoti sertifikatus per CertCentral portalą ir įdiegti juos savo serveriuose.
Reikėtų pažymėti, kad „DigiCert“ per 24 valandas atšauks paveiktus sertifikatus. Jei procesas nebus baigtas iki to laiko, bus prarastas svetainės arba programos ryšys.
„BleepingComputer“ susisiekė su „DigiCert“ ir paklausė, kiek sertifikatų buvo paveikta, bet atsakymo dar negavo.
