SSL 证书
数字证书
安全运维
域名
企业服务
SSL 证书
数字证书
安全运维
域名
企业服务
博客 > 因域名验证错误,DigiCert撤销SSL证书超8万张
浏览量:1849次评论:0次
作者:manda时间:2024-08-02 16:45:27
近日,全球知名证书颁发机构(CA)DigiCert在其官网发文称,将撤销未进行适当域名控制验证 (DCV) 的SSL证书,并表示无论情况如何,所有受此影响的证书都将在2024年8月3 日(星期六)19:30(UTC)前被吊销。根据DigiCert的首席信息安全官Jeremy Rowley在Mozilla的Bugzilla发布的帖子,此次事件影响了约83267张SSL证书和6807个客户。
为什么大规模撤销SSL证书?
根据CA/B论坛的要求,CA机构在向客户签发SSL证书之前,需要通过其批准的几种方法来验证客户对其申请证书的域名所有权,其中一种方法就是让客户添加DNS CNAME记录。DigiCert作为全球知名证书颁发机构(CA)机构,也一直遵守着CA/B论坛的相关要求,让客户在DNS中添加一个包含DigiCert提供的随机值的CNAME记录,通过对域名进行DNS 查询,验证相同的随机值,从而证明域名所有权归客户所有。
DigiCert有多种有效方法来提供以此为目的的随机值,其中一种方法是要求随机值的前缀为下划线字符。不过,近日DigiCert发现某些基于CNAME的验证案例中使用的随机值没有包含下划线前缀,这意味着这些证书的域名验证存在问题,根据CA/B论坛的基准要求,域名验证中存在问题的SSL证书必须在24小时内撤销!
CA/B论坛认为任何域名验证问题都是严重问题,需要立即采取行动,不遵守规定会导致对证书颁发机构的不信任。由此,DigiCert必须在发现后24小时内撤销所有受影响的证书,不允许延期或延迟。
DigiCert 于7月29日披露了这一问题,并表示在24小时内(UTC时间 7月31日19:30之前)撤销受影响的证书。
目前,DigiCert已积极与受此次事件影响的客户联系,其中许多客户已经更换了证书;对于由于特殊情况申请了延迟撤销的客户,正在与他们一起处理。
但,无论情况如何,所有受此事件影响的证书都将在2024年8 月3日(星期六)19:30(UTC)前被吊销。
此次事件的影响范围有多大?
根据DigiCert的首席信息安全官Jeremy Rowley在Mozilla的Bugzilla发布的帖子,此次事件影响到约83267张SSL证书和6807个客户,许多运营关键基础设施、重要电信网络、云服务和医疗保健行业用户的服务会中断。
此外,美国网络安全和基础设施安全局 CISA)也发布了一份警报,表示撤销这些证书可能会导致依赖这些证书进行安全通信的网站、服务和应用程序暂时中断。
受影响的SSL证书如何处理?
DigiCert要求受影响的客户在 24 小时内更换证书,可按照以下步骤重新申请签发证书:
采取的预防措施
DigiCert表示,他们已经意识到此类事件对客户和合作伙伴的影响。为防止此类事件再次发生,已经或将要采取以下措施:
此次事件的一些警示
此次DigiCert的证书吊销事件警示着我们:
资料参考来源:
https://status.digicert.com/
https://www.digicert.com/support/certificate-revocation-incident
https://bugzilla.mozilla.org/show_bug.cgi?id=1910322
https://www.cisa.gov/news-events/alerts/2024/07/30/digicert-certificate-revocations
相关文章推荐
2024-11-21 15:50:11
2024-11-19 14:40:48
2024-11-18 10:59:34
2024-11-15 14:13:40
2024-11-14 15:47:27
官方咨询热线:400-002-9968
官方邮箱:business@racent.com
地址:上海市普陀区真南路1199弄智创Top8号楼602A单元
商务合作:business@racent.com
投诉意见:media@racent.com
代理域名注册服务机构:西部数码 | 国外域名合作:TUCOWS
我的评论
还未登录?点击登录