DigiCert revoga certificados SSL/TLS
1 de Agosto de 2024

A autoridade certificadora (CA) DigiCert alertou que revogará um subconjunto de certificados SSL/TLS em até 24 horas devido a uma supervisão na forma como verificou se um certificado digital foi emitido ao legítimo proprietário de um domínio.

A empresa disse que tomará a medida de revogar certificados que não têm a devida Validação de Controle de Domínio (DCV, na sigla em inglês).

"Antes de emitir um certificado para um cliente, a DigiCert valida o controle ou propriedade do cliente sobre o nome de domínio para o qual estão solicitando um certificado, usando um dos vários métodos aprovados pelo Fórum CA/Browser (CA/Browser Forum - CABF)", afirmou.

Uma das maneiras como isso é feito depende de o cliente configurar um registro CNAME de DNS contendo um valor aleatório fornecido a eles pela DigiCert, que então realiza uma consulta DNS para o domínio em questão para garantir que os valores aleatórios sejam os mesmos.

O valor aleatório, segundo a DigiCert, é prefixado com um caractere de sublinhado para evitar uma possível colisão com um subdomínio real que usa o mesmo valor aleatório.

O que a empresa sediada em Utah descobriu foi que falhou em incluir o prefixo de sublinhado com o valor aleatório usado em alguns casos de validação baseados em CNAME.

O problema tem suas raízes em uma série de mudanças que foram promulgadas a partir de 2019 para reformular a arquitetura subjacente, como parte da qual o código que adiciona um prefixo de sublinhado foi removido e subsequentemente "adicionado a alguns caminhos no sistema atualizado" mas não a um caminho que nem o adicionava automaticamente nem verificava se o valor aleatório tinha um sublinhado pré-apendido.

"A omissão de um prefixo de sublinhado automático não foi detectada durante as revisões da equipe multifuncional que ocorreram antes da implantação do sistema atualizado", disse a DigiCert.

Embora tivéssemos testes de regressão no lugar, esses testes falharam em nos alertar para a mudança na funcionalidade porque os testes de regressão foram direcionados para fluxos de trabalho e funcionalidade em vez do conteúdo/estrutura do valor aleatório.

Infelizmente, nenhuma revisão foi feita para comparar as implementações de valor aleatório legado com as implementações de valor aleatório no novo sistema para cada cenário.

"Se tivéssemos conduzido essas avaliações, teríamos aprendido mais cedo que o sistema não estava adicionando automaticamente o prefixo de sublinhado ao valor aleatório onde necessário," diz a empresa.

Posteriormente, em 11 de junho de 2024, a DigiCert disse que reformulou o processo de geração de valor aleatório e eliminou a adição manual do prefixo de sublinhado dentro dos limites de um projeto de aprimoramento da experiência do usuário, mas reconheceu que novamente falhou em "comparar essa mudança de UX contra o fluxo de sublinhado no sistema legado".

A empresa disse que não descobriu o problema de não conformidade até "algumas semanas atrás", quando um cliente não identificado entrou em contato sobre os valores aleatórios usados na validação, solicitando uma revisão mais aprofundada.

Também observou que o incidente impacta aproximadamente 0,4% das validações de domínio aplicáveis, que, segundo uma atualização no relatório relacionado do Bugzilla, afeta 83.267 certificados e 6.807 clientes.

Os clientes notificados são recomendados a substituir seus certificados o mais rápido possível, acessando suas contas da DigiCert, gerando uma Solicitação de Assinatura de Certificado (CSR) e reemitindo-os após passar pela DCV.

O desenvolvimento levou a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) a publicar um alerta, declarando que "a revogação desses certificados pode causar interrupções temporárias em sites, serviços e aplicações que dependem desses certificados para comunicação segura."

"A DigiCert continua a se envolver ativamente com os clientes impactados por este incidente e muitos deles foram capazes de substituir seus certificados", disse a empresa.

"Alguns clientes solicitaram uma revogação adiada devido a circunstâncias excepcionais e estamos trabalhando com eles em suas situações individuais. Não estamos mais aceitando quaisquer solicitações para revogação adiada."

Isso inclui clientes que operam infraestrutura crítica, que, segundo a empresa, "não estão em posição de ter todos os seus certificados reemitidos e implantados a tempo sem interrupções críticas de serviço." Observou ainda que todos os certificados impactados, independentemente das circunstâncias, serão revogados o mais tardar em 3 de agosto de 2024, às 19:30 UTC.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...