La autoridad certificadora (CA) DigiCert ha advertido que revocará un subconjunto de certificados SSL/TLS dentro de las 24 horas debido a un descuido en la forma en que verifica si un certificado digital se emite al propietario legítimo de un dominio.
La compañía dijo que tomará medidas para revocar los certificados que no tengan la validación de control de dominio adecuada (DCV).
“Antes de emitir un certificado a un cliente, DigiCert valida el control o la propiedad del cliente sobre el nombre de dominio para el que solicita un certificado utilizando uno de varios métodos aprobados por CA/Browser Forum (CABF),» Él dicho.
Una forma de lograr esto es a través de la configuración del cliente de un Registro DNS CNAME que contiene un valor aleatorio proporcionado por DigiCert, que luego realiza una búsqueda de DNS para el dominio en cuestión para garantizar que los valores aleatorios sean los mismos.
El valor aleatorio, según DigiCert, tiene como prefijo un carácter de guión bajo para evitar una posible colisión con un subdominio real que utiliza el mismo valor aleatorio.
Lo que descubrió la empresa con sede en Utah fue que no había incluido el prefijo de guión bajo con el valor aleatorio utilizado en algunos casos de validación basados en CNAME.
El problema tiene sus raíces en una serie de cambios que se adoptaron a partir de 2019 para revisar la arquitectura subyacente, donde el código que agregaba un prefijo de guión bajo se eliminó y luego se «agregó a ciertas rutas en el sistema actualizado», pero no a una ruta que no lo hacía. No lo agregue automáticamente ni verifique si el valor aleatorio tenía un guión bajo agregado previamente.
«La omisión de un prefijo de subrayado automático no se detectó durante las revisiones del equipo multifuncional que tuvieron lugar antes de la implementación del sistema actualizado», dijo DigiCert.
“Aunque teníamos implementadas pruebas de regresión, no nos alertaron sobre el cambio en la funcionalidad porque las pruebas de regresión se limitaban a los flujos de trabajo y la funcionalidad en lugar del contenido/la estructura del valor aleatorio. »
“Desafortunadamente, no se ha realizado ningún análisis para comparar las implementaciones de valores aleatorios heredadas con las implementaciones de valores aleatorios en el nuevo sistema para cada escenario. Si hubiéramos hecho estas evaluaciones, habríamos aprendido antes que el sistema no agregaba automáticamente el prefijo de guión bajo al valor aleatorio cuando era necesario. »
Posteriormente, el 11 de junio de 2024, DigiCert declaró que había renovado el proceso de generación de valores aleatorios y eliminado la adición manual del prefijo de subrayado dentro de los límites de un proyecto de mejora de la experiencia del usuario, pero reconoció que nuevamente no había podido «comparar este cambio en la experiencia del usuario con el flujo de subrayado en el sistema antiguo.»
La compañía dijo que descubrió el problema de incumplimiento «hace varias semanas» cuando un cliente anónimo se comunicó con ella sobre los valores aleatorios utilizados en la validación, lo que resultó en un examen más detenido.
También señaló que el incidente afecta aproximadamente al 0,4% de las validaciones de dominio aplicables, lo que según un actualización Según el informe asociado de Bugzilla, esto afecta a 83.267 certificados y 6.807 clientes.
Se recomienda a los clientes expertos que reemplacen sus certificados lo antes posible iniciando sesión en sus cuentas DigiCert, generando una Solicitud de firma de certificado (CSR) y reemitiéndolos después de pasar la DCV.
Este desarrollo llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a emitir una alerta, declarando que «la revocación de estos certificados puede provocar interrupciones temporales en los sitios web, servicios y aplicaciones que dependen de estos certificados para una comunicación segura».
