由于域验证错误,DigiCert 大规模撤销 TLS 证书
2024-8-1 11:12:7 Author: www.freebuf.com(查看原文) 阅读量:18 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

DigiCert 警告称,由于域控制验证 (DCV) 的不合规问题,该公司正大规模撤销已经发放的 SSL/TLS 证书,数量超过8万个。

DigiCert 是提供 SSL/TLS 证书的著名证书颁发机构 (CA) 之一,包括域验证 (DV)、组织验证 (OV) 和扩展验证 (EV) 证书。这些证书用于加密用户与网站或应用程序之间的通信,从而提高安全性,防止恶意网络监控和中间人攻击。

为域颁发证书时,证书颁发机构必须首先执行域控制验证 (DCV) 以确认客户拥有该域。用于验证域所有权的方法之一是在证书的 DNS CNAME 记录中添加一个带有随机值的字符串,然后对域执行 DNS 查找以确保随机值匹配。

根据 CABF 基线要求,随机值应由域名分隔,并带有下划线。否则,域与用于验证的子域之间存在冲突的风险。但DigiCert称,最近在一些基于CNAME的验证案例中没有在随机值中包含下划线前缀。

一个已事发5年的错误

DigiCert表示,造成这种错误的根本原因是2019年8月的系统更新,导致删除了某些验证路径中的自动下划线添加,影响了 2019 年 8 月至 2024 年 6 月期间的 83267 个证书。2024 年 6 月 11 日,一个用户体验提升项目通过整合随机值生成过程,修复了这个长达5年都未发现的问题。7 月 29 日,DigiCert 在调查一份关于生成随机值的单独报告时正式披露了这一问题。

目前DigiCert已通知 6807 名受影响的客户,要求他们尽快替换其证书,方法是登录其 DigiCert 帐户,生成证书签名请求 (CSR),并在通过 DCV 后重新颁发证书。需要注意的是,DigiCert 将在 24 小时内(UTC时间 7 月 31 日 19:30 之前)撤销受影响的证书。如果在此之前未完成该过程,则将导致网站或应用程序的连接丢失。

这一事态发展促使美国网络安全和基础设施安全局 (CISA) 发布了一份警报,指出“撤销这些证书可能会导致依赖这些证书进行安全通信的网站、服务和应用程序暂时中断。

参考来源:

DigiCert mass-revoking TLS certificates due to domain validation bug

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/news/407484.html
如有侵权请联系:admin#unsafe.sh