DigiCertがバグにより顧客のSSL/TLS 証明書を大量失効させる
2024年7月30日 アメリカのデジタル証明書の認証局を運営するDigiCert(デジサート)は、顧客がドメインを所有または運営しているかどうかを確認する設定にバグがあったため、SSL/TLS 証明書を大量に失効させると警告しており、影響を受ける顧客に 24 時間以内に証明書を再発行するよう求めています。
バグの影響
ドメイン検証エラーにより数千の証明書を失効すると発表し、
ドメイン コントロール検証 (DCV) プロセスにおける重大な問題の発見を受けて下されたもので、
発行された証明書の約 0.4% に影響を及ぼすとしています。
この手順では、影響を受けた 6,807 人の顧客が、DigiCert CertCentral アカウントにログインして影響を受ける証明書を特定した後、7 月 31 日 19:30 UTC までに 24 時間以内に 83,267 の証明書を再発行する必要がありました。
それまでにプロセスが完了しない場合、失効した TLS 証明書を使用している Web サイト、サービス、またはアプリケーションは接続を失います。
※対象顧客には既に通知済みとのこと。
バグの内容
この問題は、DCV プロセスの省略によって発生しました。一部の DNS CNAME レコードには、必要なアンダースコア プレフィックスが含まれていませんでした。
このプレフィックスは、検証に使用されるランダム値が実際のドメイン名と衝突しないようにするために重要ですが、
DigiCert によると、 2019 年 8 月のシステム アップデートで、一部の検証パスでアンダースコアの自動追加が削除されておりこれが根本原因となっていました。
この見落としは最近まで発見されなかったため、2019 年 8 月から 2024 年 6 月の間に、アンダースコア プレフィックスなしでいくつかの検証が実施されました。
2024 年 6 月 11 日、DigiCertはUX強化プロジェクトにより、ランダム値生成プロセスを統合することで、まだ発見されていない問題が修正されました。
最終的に、7 月 29 日、DigiCert は、ランダム値の生成に関する別のレポートを調査しているときに、ごく一部の証明書にアンダースコアがないことを発見。
DigiCert(デジサート)は、このような事件がお客様やパートナーに与える影響を認識しています。このような事件の再発を防ぐために、DigiCert(デジサート)は以下の措置を講じています。
DigiCert(デジサート)が実施する予防措置
- DCV 全体のすべての乱数生成器の統合とレビュー [完了済み]
- UX の簡素化により、顧客は DCV 方式の選択に基づいて特定のランダム値形式について知る必要がなくなります [完了済み]
- コンプライアンス チームのメンバーは、すべての認証局 (CA) および登録局 (RA) スプリント チーム (設計/アーキテクチャのレビューを含む) に組み込まれ、該当するすべての変更をレビューします [完了済み]
- コンプライアンス ベースの自動テスト ケースを使用して、すべての検証ワークフローで機能テストを超えたテスト範囲を拡大します [進行中; 予定日: 2024 年 8 月 5 日]
- コミュニティレビュー用のオープンソース DCV [進行中; 予定日 2024 年 11 月 1 日]
引用
DigiCert Revocation Incident(CNAME-Based Domain Validation)
DigiCert mass-revoking TLS certificates due to domain validation bug
DigiCert(デジサート)とは
主にOV証明書や、EV証明書を発行するサービスを行っている[。2017年にはシマンテックの電子証明書事業を買収し、証明書事業で世界的に最大手の一社となった。
ウィキペディアや、Facebook、IBM、ソニー、トヨタ自動車、任天堂などのウェブサイトも、デジサートによる電子証明書の認証を受けています。
引用:wiki