DigiCert advierte que revocará los certificados SSL/TLS en masa debido a un error en la forma en que la empresa verifica si un cliente posee u opera un dominio y exige a los clientes afectados que vuelvan a emitir los certificados dentro de las 24 horas.
No está claro cuántos certificados se revocarán durante este proceso, pero la compañía dice que afecta aproximadamente al 0,4% de las validaciones de dominio aplicables que realizó entre agosto de 2019 y junio de 2024.
DigiCert es una autoridad de certificación (CA) líder que proporciona certificados SSL/TLS, incluidos certificados de validación de dominio (DV), validación de organización (OV) y validación extendida (EV).
Estos certificados se utilizan para cifrar la comunicación entre un usuario y un sitio web o una aplicación, aumentando así la seguridad contra la vigilancia de red maliciosa y los ataques de intermediarios.
Al emitir un certificado para un dominio, una autoridad certificadora primero debe realizar una verificación de control de dominio (DCV) para confirmar que el cliente es el propietario del dominio.
Uno de los métodos utilizados para validar la propiedad del dominio es agregar una cadena con un valor aleatorio al registro DNS CNAME del certificado y luego realizar una búsqueda de DNS para el dominio para garantizar que los valores aleatorios coincidan.
De acuerdo a Requisitos Básicos del CABFun valor aleatorio debe estar separado por el nombre de dominio con un guión bajo. De lo contrario, existe riesgo de colisión entre un dominio y un subdominio utilizado para la verificación.
“Recientemente, aprendimos que no incluimos el prefijo de guión bajo con el valor aleatorio utilizado en algunos casos de validación basados en CNAME”. explica DigiCert en el anuncio.
“Esto afectó aproximadamente el 0,4% de las validaciones de dominio aplicables que tenemos vigentes. De acuerdo con las estrictas reglas de la CABF, los certificados que tengan un problema en la validación de su dominio deben ser revocados dentro de las 24 horas siguientes. sin excepción.”
Un error de cinco años
DigiCert dice que la causa principal fue una actualización del sistema en agosto de 2019 que llevó a la eliminación del subrayado automático en algunas rutas de validación.
Este descuido se detectó recientemente, por lo que entre agosto de 2019 y junio de 2024 se realizaron algunas validaciones sin el prefijo de guión bajo.
El 11 de junio de 2024, un proyecto de mejora de la experiencia del usuario solucionó el problema aún no descubierto al consolidar el proceso de generación de valor aleatorio.
Finalmente, el 29 de julio, DigiCert descubrió la ausencia del guión bajo en un pequeño porcentaje de certificados mientras investigaba un informe separado sobre la generación aleatoria de valores.
“La ausencia de un guión bajo se considera un riesgo de seguridad porque existe un riesgo de colisión entre un dominio real y el subdominio utilizado para la verificación”, explicó DigiCert.
“Aunque la probabilidad de una colisión es extremadamente baja porque el valor aleatorio tiene al menos 150 bits de entropía, todavía existe una posibilidad. »
DigiCert ha tomado las siguientes medidas para evitar que se repitan incidentes similares:
- He revisado y consolidado todos los generadores de valores aleatorios.
- La experiencia del usuario se ha simplificado para eliminar la necesidad de agregar subrayados manualmente.
- Integración de los miembros del equipo de cumplimiento en los sprints de desarrollo.
- Amplia cobertura de pruebas para escenarios basados en el cumplimiento.
- Planes para abrir el código fuente del DCV para revisión de la comunidad antes del 1 de noviembre de 2024.
Los clientes ahora deben iniciar sesión en su cuenta DigiCert CertCentral para identificar los certificados afectados.
Luego deben generar una nueva solicitud de firma de certificado (CSR) para el dominio, lo que solicita a DigiCert que realice otra verificación de control de dominio.
Una vez que la solicitud de certificado pasa el DCV, los clientes pueden volver a emitir certificados a través del portal CertCentral e instalarlos en sus servidores.
Cabe señalar que DigiCert revocará los certificados afectados en un plazo de 24 horas. Si el proceso no se completa antes de esta fecha, se producirá la pérdida de conectividad del sitio web o la aplicación.
BleepingComputer se puso en contacto con DigiCert para preguntar cuántos certificados se vieron afectados, pero aún no ha recibido una respuesta.
