DigiCert Forced to Revoke Thousands of Certificates Due to Domain Validation Error
2024/07/29 SecurityOnline — 大手デジタル認証局である DigiCert が発表したのは、DCV (Domain Control Verification) プロセスにおけるコンプライアンス違反の問題により、同社の SSL/TLS 証明書数千件を緊急で失効させるという決定だ。
何が起こったのか?
DigiCert のシステムに技術的な見落としがあり、ドメイン検証に使用される DNS CNAME レコードの一部で、アンダースコア接頭辞が抜けてしまった。この、一見些細なことがセキュリティに与える影響は限定されるが、CA/Browser Forum (CABF) が定めた厳格な業界標準に違反している。この基準では、ドメイン・バリデーションに問題がある証明書については、ことの大小には関係なく、24時間の失効期間が義務付けられている。
顧客への影響と措置
DigiCert が提供する有効な証明書の、約 0.4% が影響を受けている。影響を受けた顧客は通知を受診するが、その証明書を 24時間以内に交換する必要が生じる。DigiCert は、証明書の再発行手順を提供し、影響を受ける顧客にサポートを提供している。
同社は、CertCentral アカウントにログインし、影響を受ける証明書を確認し、再発行の手順に従ってほしいと述べている:
- CertCentralアカウントにログインし、初回ログイン時に CNAME Revocation Incident のバナーを表示し、影響を受ける証明書を確認する。
- Certificates > Ordersページに移動し、影響を受ける証明書を特定する。
- 新しい証明書署名要求 (CSR) を生成する。
- 各証明書の Order # 詳細ページで、[Certificate actions] ドロップダウンの [Reissue certificate] を選択する。
- 追加の必要な検証ステップを完了する。
- 再発行された SSL/TLS 証明書をインストールする。
技術的な詳細
この問題は、DNS ベースのドメイン検証で使用される CNAME レコードの、特定のフォーマットに起因している。CNAME レコードを追加する有効な方法は複数あるが、実際のドメイン名との潜在的な競合を防ぐために、アンダースコアの接頭辞を必要とするという方式がある。DigiCert の文書に、この要件が明示的に記載されていなかったことで、コンプライアンスに準拠しない検証が行われていた。
DigiCert の対応
DigiCert は、この誤りを認め、状況を修正するために早急な対策を講じている。すべての乱数値ジェネレータを統合/見直し、ドメイン検証のユーザー・エクスペリエンスを簡素化し、コンプライアンス・チームメンバーを開発チームに組み込んでいる。さらに、テスト・カバレッジを拡大し、DCV プロセスをオープンソース化し、コミュニティでレビューする予定だという。
DigiCert の顧客にとっての当面の優先事項は、影響を受けた証明書を交換し、Web サイト/サービスに支障が出ないようにすることだ。
この、DigiCert における証明書の失効において、有効な証明書の約 0.4% が影響を受けようです。通知を受診した場合には、手間がかかる作業となりますが、ご対応ください。ちょっと毛色の異なるトピックですが、2024/06/29 には「Entrust 認証局は 11月1日より Chrome がブロック:信頼に値しないという Google の判断」という記事をポストしています。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.