DigiCert تلغي أكثر من 83000 شهادة SSL بسبب مراقبة التحقق من صحة النطاق
حذرت هيئة التصديق (CA) DigiCert من أنها ستقوم بإلغاء مجموعة فرعية من شهادات SSL/TLS في غضون 24 ساعة بسبب الرقابة على كيفية التحقق من إصدار شهادة رقمية للمالك الشرعي للنطاق.
وقالت الشركة إنها ستتخذ خطوة إلغاء الشهادات التي لا تحتوي على التحقق المناسب من صحة التحكم في المجال (DCV).
“قبل إصدار شهادة للعميل، تقوم DigiCert بالتحقق من صحة سيطرة العميل أو ملكيته لاسم النطاق الذي يطلب شهادة له باستخدام إحدى الطرق العديدة المعتمدة من قبل CA/Browser Forum (كابف)،” هو – هي قال.
إحدى الطرق التي يتم بها القيام بذلك تتوقف على قيام العميل بإعداد ملف سجل DNS CNAME تحتوي على قيمة عشوائية مقدمة لهم من DigiCert، والتي تقوم بعد ذلك بإجراء بحث DNS عن المجال المعني للتأكد من أن القيم العشوائية هي نفسها.
القيمة العشوائية، لكل DigiCert، مسبوقة بحرف سفلي وذلك لمنع التصادم المحتمل مع مجال فرعي فعلي يستخدم نفس القيمة العشوائية.
ما وجدته الشركة التي يقع مقرها في ولاية يوتا هو أنها فشلت في تضمين البادئة السفلية مع القيمة العشوائية المستخدمة في بعض حالات التحقق من الصحة المستندة إلى CNAME.
تعود جذور المشكلة إلى سلسلة من التغييرات التي تم سنها بدءًا من عام 2019 لتجديد البنية الأساسية، حيث تمت إزالة التعليمات البرمجية التي تضيف بادئة سفلية ومن ثم “إضافتها إلى بعض المسارات في النظام المحدث” ولكن ليس إلى مسار واحد. المسار الذي لم يضيفه تلقائيًا ولم يتحقق مما إذا كانت القيمة العشوائية تحتوي على شرطة سفلية ملحقة مسبقًا.
وقالت DigiCert: “لم يتم اكتشاف إغفال بادئة الشرطة السفلية التلقائية أثناء مراجعات الفريق متعدد الوظائف التي حدثت قبل نشر النظام المحدث”.
“بينما كان لدينا اختبار الانحدار، فشلت هذه الاختبارات في تنبيهنا إلى التغيير في الوظيفة لأن اختبارات الانحدار تم تحديد نطاقها لتشمل سير العمل والوظائف بدلاً من محتوى/بنية القيمة العشوائية.”
“لسوء الحظ، لم يتم إجراء أي مراجعات لمقارنة تطبيقات القيمة العشوائية القديمة مع تطبيقات القيمة العشوائية في النظام الجديد لكل سيناريو. لو أجرينا تلك التقييمات، لكنا قد علمنا سابقًا أن النظام لم يكن يضيف البادئة السفلية تلقائيًا إلى قيمة عشوائية عند الحاجة.”
بعد ذلك، في 11 يونيو 2024، قالت DigiCert إنها جددت عملية توليد القيمة العشوائية وألغت الإضافة اليدوية للبادئة السفلية ضمن حدود مشروع تحسين تجربة المستخدم، لكنها أقرت بأنها فشلت مرة أخرى في “مقارنة تغيير تجربة المستخدم هذا مع التأكيد على التدفق في النظام القديم.”
وقالت الشركة إنها لم تكتشف مشكلة عدم الامتثال إلا “قبل عدة أسابيع” عندما تواصل عميل لم يذكر اسمه بخصوص القيم العشوائية المستخدمة في التحقق من الصحة، مما أدى إلى إجراء مراجعة أعمق.
كما أشارت أيضًا إلى أن الحادث يؤثر على ما يقرب من 0.4% من عمليات التحقق من صحة النطاق المعمول بها، والتي، وفقًا لـ تحديث في تقرير Bugzilla ذي الصلة، يؤثر ذلك على 83,267 شهادة و6,807 عملاء.
يُنصح العملاء الذين تم إخطارهم باستبدال شهاداتهم في أقرب وقت ممكن عن طريق تسجيل الدخول إلى حسابات DigiCert الخاصة بهم، وإنشاء طلب توقيع الشهادة (CSR)، وإعادة إصدارها بعد اجتياز DCV.
وقد دفع هذا التطور وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إلى نشر تنبيه، تفيد أن “إلغاء هذه الشهادات قد يتسبب في اضطرابات مؤقتة لمواقع الويب والخدمات والتطبيقات التي تعتمد على هذه الشهادات للاتصال الآمن.”
إرسال التعليق