由于域验证错误,DigiCert 大规模撤销 TLS 证书

admin 2024年8月1日23:17:59评论15 views字数 861阅读2分52秒阅读模式

由于域验证错误,DigiCert 大规模撤销 TLS 证书

关键词

域控制验证

DigiCert 警告称,由于域控制验证 (DCV) 的不合规问题,该公司正大规模撤销已经发放的 SSL/TLS 证书,数量超过8万个。

由于域验证错误,DigiCert 大规模撤销 TLS 证书

DigiCert 是提供 SSL/TLS 证书的著名证书颁发机构 (CA) 之一,包括域验证 (DV)、组织验证 (OV) 和扩展验证 (EV) 证书。这些证书用于加密用户与网站或应用程序之间的通信,从而提高安全性,防止恶意网络监控和中间人攻击。

为域颁发证书时,证书颁发机构必须首先执行域控制验证 (DCV) 以确认客户拥有该域。用于验证域所有权的方法之一是在证书的 DNS CNAME 记录中添加一个带有随机值的字符串,然后对域执行 DNS 查找以确保随机值匹配。

根据 CABF 基线要求,随机值应由域名分隔,并带有下划线。否则,域与用于验证的子域之间存在冲突的风险。但DigiCert称,最近在一些基于CNAME的验证案例中没有在随机值中包含下划线前缀。

一个已事发5年的错误

DigiCert表示,造成这种错误的根本原因是2019年8月的系统更新,导致删除了某些验证路径中的自动下划线添加,影响了 2019 年 8 月至 2024 年 6 月期间的 83267 个证书。2024 年 6 月 11 日,一个用户体验提升项目通过整合随机值生成过程,修复了这个长达5年都未发现的问题。7 月 29 日,DigiCert 在调查一份关于生成随机值的单独报告时正式披露了这一问题。

目前DigiCert已通知 6807 名受影响的客户,要求他们尽快替换其证书,方法是登录其 DigiCert 帐户,生成证书签名请求 (CSR),并在通过 DCV 后重新颁发证书。需要注意的是,DigiCert 将在 24 小时内(UTC时间 7 月 31 日 19:30 之前)撤销受影响的证书。如果在此之前未完成该过程,则将导致网站或应用程序的连接丢失。

这一事态发展促使美国网络安全和基础设施安全局 (CISA) 发布了一份警报,指出“撤销这些证书可能会导致依赖这些证书进行安全通信的网站、服务和应用程序暂时中断。

END

原文始发于微信公众号(安全圈):【安全圈】由于域验证错误,DigiCert 大规模撤销 TLS 证书

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月1日23:17:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   由于域验证错误,DigiCert 大规模撤销 TLS 证书https://cn-sec.com/archives/3023762.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息