Autoritet za izdavanje certifikata (CA) DigiCert je upozorio da će opozvati podskup SSL/TLS certifikata u roku od 24 sata zbog propusta u načinu na koji je provjerio da li je digitalni certifikat izdat zakonitom vlasniku domene.
Kompanija je saopštila da će poduzeti korak opoziva certifikata koji nemaju odgovarajuću proveru kontrole domene (DCV).
“Prije izdavanja certifikata kupcu, DigiCert potvrđuje kontrolu ili vlasništvo korisnika nad imenom domene za koju traže certifikat koristeći jednu od nekoliko metoda odobrenih od strane CA/Browser Foruma (CABF)”, navodi se.
Jedan od načina na koji se to radi ovisi o tome da korisnik podesi DNS CNAME zapis koji sadrži nasumične vrijednosti koje im je dostavio DigiCert, koji zatim obavlja DNS pretragu za predmetnu domenu kako bi se uvjerio da su nasumične vrijednosti iste.
Slučajna vrijednost, po DigiCert-u, ima prefiks donje crte kako bi se spriječila moguća kolizija sa stvarnom poddomenom koja koristi istu nasumične vrijednosti.
Ono što je kompanija sa sjedištem u Utahu otkrila je da nije uključila prefiks donje crte sa nasumičnom vrijednošću koja se koristi u nekim slučajevima validacije baziranih na CNAME-u.
Problem ima svoje korijene u nizu izmjena koje su donesene počevši od 2019. godine kako bi se preuredila osnovna arhitektura, u sklopu kojih je kod koji dodaje prefiks donje crte uklonjen i naknadno “dodat na neke staze u ažuriranom sistemu”, ali ne i na jedan. putanja koja ga nije niti dodala automatski niti provjerila da li nasumična vrijednost ima prethodno dodanu donju crtu.
„Izostavljanje automatskog prefiksa donje crte nije uočeno tokom višefunkcionalnih timskih pregleda koji su se desili prije postavljanja ažuriranog sistema,“ rekao je DigiCert.
“Dok smo imali regresijsko testiranje, ti testovi nas nisu uspjeli upozoriti na promjenu funkcionalnosti jer su regresijski testovi bili ograničeni na tokove posla i funkcionalnost umjesto sadržaja/strukture slučajne vrijednosti.”
“Nažalost, nisu rađene recenzije za upoređivanje naslijeđenih implementacija slučajnih vrijednosti sa implementacijama slučajnih vrijednosti u novom sistemu za svaki scenario. Da smo izvršili te evaluacije, ranije bismo saznali da sistem ne dodaje automatski prefiks donje crte u nasumična vrijednost gdje je to potrebno.”
Nakon toga, 11. juna 2024., DigiCert je rekao da je obnovio proces generisanja nasumičnih vrijednosti i eliminirao ručno dodavanje prefiksa donje crte unutar granica projekta poboljšanja korisničkog iskustva, ali je priznao da opet nije uspio “uporediti ovu promjenu UX-a sa podcrtati tok u naslijeđenom sistemu.”
Kompanija je rekla da nije otkrila problem neusklađenosti sve do “prije nekoliko sedmica” kada se neimenovani kupac obratio u vezi nasumičnih vrijednosti korištenih u validaciji, što je podstaklo dublju reviziju.
Takođe je napomenulo da incident utječe na otprilike 0,4% primjenjivih validacija domena, što, prema ažuriranju povezanog Bugzilla izvještaja, utiče na 83.267 certifikata i 6.807 klijenata.
Obaviještenim korisnicima se preporučuje da zamijene svoje certifikate što je prije moguće tako što će se prijaviti na svoje DigiCert račune, generirati zahtjev za potpisivanje certifikata (CSR) i ponovno ih izdati nakon prolaska DCV-a.
Razvoj je natjerao Američku agenciju za cyber sigurnost i sigurnost infrastrukture (CISA) da objavi upozorenje, u kojem se navodi da “opoziv ovih certifikata može uzrokovati privremene poremećaje web stranica, usluga i aplikacija koje se oslanjaju na te certifikate za sigurnu komunikaciju.”
Ažuriraj
“DigiCert nastavlja da aktivno sarađuje sa klijentima pogođenim ovim incidentom i mnogi od njih su uspeli da zamene svoje sertifikate”, saopštila je kompanija. “Neki klijenti su podnijeli zahtjev za odgođeno opoziv zbog izuzetnih okolnosti i mi radimo s njima na njihovim pojedinačnim situacijama. Više ne primamo nikakve zahtjeve za odgođeni opoziv.”
To uključuje klijente koji upravljaju kritičnom infrastrukturom, a za koje je rečeno da “nisu u poziciji da se svi njihovi certifikati ponovo izdaju i implementiraju na vrijeme bez kritičnih prekida usluga.” Nadalje, napominje da će svi certifikati na koje se to odnosi, bez obzira na okolnosti, biti opozvani najkasnije do 3. avgusta 2024. u 19:30 sati. UTC
Izvor:The Hacker News