DigiCert sẽ thu hồi hơn 83.000 chứng chỉ SSL do giám sát xác thực tên miền
Cơ quan cấp chứng chỉ (CA) DigiCert đã cảnh báo rằng họ sẽ thu hồi một số chứng chỉ SSL/TLS trong vòng 24 giờ do thiếu sót trong cách xác minh xem chứng chỉ số có được cấp cho chủ sở hữu hợp pháp của tên miền hay không.
Công ty cho biết họ sẽ thực hiện bước thu hồi các chứng chỉ không có Xác thực kiểm soát miền ( DCV ) phù hợp.
"Trước khi cấp chứng chỉ cho khách hàng, DigiCert sẽ xác thực quyền kiểm soát hoặc quyền sở hữu của khách hàng đối với tên miền mà họ yêu cầu cấp chứng chỉ bằng một trong nhiều phương pháp đã được CA/Diễn đàn trình duyệt ( CABF ) chấp thuận", công ty cho biết .
Một trong những cách thực hiện điều này là khách hàng thiết lập bản ghi DNS CNAME chứa giá trị ngẫu nhiên do DigiCert cung cấp, sau đó thực hiện tra cứu DNS cho tên miền đang đề cập để đảm bảo rằng các giá trị ngẫu nhiên là giống nhau.
Theo DigiCert, giá trị ngẫu nhiên được thêm tiền tố là ký tự gạch dưới để tránh xung đột có thể xảy ra với tên miền phụ thực tế sử dụng cùng một giá trị ngẫu nhiên.
Công ty có trụ sở tại Utah phát hiện ra rằng họ đã không bao gồm tiền tố gạch dưới với giá trị ngẫu nhiên được sử dụng trong một số trường hợp xác thực dựa trên CNAME.
Vấn đề bắt nguồn từ một loạt các thay đổi được ban hành bắt đầu từ năm 2019 để cải tiến kiến trúc cơ bản, trong đó có việc xóa mã thêm tiền tố gạch dưới và sau đó "thêm vào một số đường dẫn trong hệ thống đã cập nhật" nhưng không thêm vào một đường dẫn nào mà không tự động thêm tiền tố gạch dưới cũng như không kiểm tra xem giá trị ngẫu nhiên có dấu gạch dưới được thêm trước hay không.
DigiCert cho biết: "Việc bỏ đi tiền tố gạch dưới tự động đã không được phát hiện trong quá trình đánh giá của nhóm liên chức năng diễn ra trước khi triển khai hệ thống cập nhật".
"Mặc dù chúng tôi đã áp dụng thử nghiệm hồi quy, nhưng những thử nghiệm đó không cảnh báo chúng tôi về sự thay đổi trong chức năng vì các thử nghiệm hồi quy chỉ giới hạn trong quy trình công việc và chức năng thay vì nội dung/cấu trúc của giá trị ngẫu nhiên."
"Thật không may, không có đánh giá nào được thực hiện để so sánh các triển khai giá trị ngẫu nhiên cũ với các triển khai giá trị ngẫu nhiên trong hệ thống mới cho mọi tình huống. Nếu chúng tôi thực hiện các đánh giá đó, chúng tôi sẽ biết sớm hơn rằng hệ thống không tự động thêm tiền tố gạch dưới vào giá trị ngẫu nhiên khi cần thiết."
Sau đó, vào ngày 11 tháng 6 năm 2024, DigiCert cho biết họ đã cải tiến quy trình tạo giá trị ngẫu nhiên và loại bỏ việc thêm tiền tố gạch dưới thủ công trong phạm vi của dự án nâng cao trải nghiệm người dùng, nhưng thừa nhận một lần nữa họ đã không "so sánh thay đổi UX này với luồng gạch dưới trong hệ thống cũ".
Công ty cho biết họ không phát hiện ra vấn đề không tuân thủ cho đến "vài tuần trước" khi một khách hàng giấu tên liên hệ về các giá trị ngẫu nhiên được sử dụng trong quá trình xác thực, thúc đẩy quá trình xem xét sâu hơn.
Báo cáo cũng lưu ý rằng sự cố này ảnh hưởng đến khoảng 0,4% xác thực tên miền áp dụng, theo cập nhật trên báo cáo Bugzilla liên quan, sự cố này ảnh hưởng đến 83.267 chứng chỉ và 6.807 khách hàng.
Khách hàng được thông báo nên thay thế chứng chỉ của mình càng sớm càng tốt bằng cách đăng nhập vào tài khoản DigiCert, tạo Yêu cầu ký chứng chỉ (CSR) và cấp lại sau khi vượt qua DCV.
Sự phát triển này đã thúc đẩy Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) phải đưa ra cảnh báo, nêu rõ rằng "việc thu hồi các chứng chỉ này có thể gây ra sự gián đoạn tạm thời cho các trang web, dịch vụ và ứng dụng dựa vào các chứng chỉ này để liên lạc an toàn".
Cập nhật
"DigiCert vẫn tiếp tục tích cực tương tác với những khách hàng bị ảnh hưởng bởi sự cố này và nhiều người trong số họ đã có thể thay thế chứng chỉ của mình", công ty cho biết . "Một số khách hàng đã nộp đơn xin thu hồi chậm do những trường hợp đặc biệt và chúng tôi đang làm việc với họ về tình hình riêng của họ. Chúng tôi không còn chấp nhận bất kỳ đơn xin thu hồi chậm nào nữa".
Những khách hàng này bao gồm các khách hàng vận hành cơ sở hạ tầng quan trọng , những người mà theo báo cáo là "không có khả năng cấp lại và triển khai tất cả các chứng chỉ của mình kịp thời mà không gây gián đoạn dịch vụ quan trọng". Báo cáo cũng lưu ý rằng tất cả các chứng chỉ bị ảnh hưởng, bất kể trong trường hợp nào, sẽ bị thu hồi chậm nhất là ngày 3 tháng 8 năm 2024, 7:30 tối UTC.