Sertifika yetkilisi (CA) DigiCert, bir dijital sertifikanın bir alan adının hak sahibine verilip verilmediğinin doğrulanmasında yapılan bir hata nedeniyle 24 saat içinde SSL/TLS sertifikalarının bir alt kümesini iptal edeceği konusunda uyarıda bulundu.
Şirket, uygun Alan Denetimi Doğrulaması olmayan sertifikaları iptal etme adımını atacağını söyledi (DCV).
“DigiCert, bir müşteriye sertifika vermeden önce, müşterinin sertifika talep ettiği alan adı üzerindeki kontrolünü veya sahipliğini CA/Tarayıcı Forumu tarafından onaylanan çeşitli yöntemlerden birini kullanarak doğrular (KABİN),” BT söz konusu.
Bunun yapılmasının yollarından biri, müşterinin bir DNS CNAME kaydı DigiCert tarafından kendilerine sağlanan rastgele bir değeri içeren ve daha sonra rastgele değerlerin aynı olduğundan emin olmak için söz konusu alan adı için bir DNS araması gerçekleştiren bir güvenlik anahtarıdır.
DigiCert’e göre rastgele değer, aynı rastgele değeri kullanan gerçek bir alt etki alanıyla olası bir çakışmayı önlemek için bir alt çizgi karakteriyle öneklenir.
Utah merkezli şirketin bulduğu şey, bazı CNAME tabanlı doğrulama vakalarında kullanılan rastgele değerle birlikte alt çizgi önekini eklemeyi başaramadığıydı.
Sorunun kökeni, 2019’da altta yatan mimariyi yenilemek için yürürlüğe giren bir dizi değişiklikten kaynaklanıyor. Bu değişikliklerin bir parçası olarak alt çizgi öneki ekleyen kod kaldırıldı ve daha sonra “güncellenen sistemdeki bazı yollara eklendi” ancak otomatik olarak eklenmeyen veya rastgele değerin önceden eklenmiş bir alt çizgisi olup olmadığını kontrol etmeyen bir yola eklenmedi.
DigiCert, “Güncellenen sistemin dağıtımından önce gerçekleşen işlevler arası ekip incelemeleri sırasında otomatik alt çizgi önekinin atlanması yakalanmadı” dedi.
“Yerinde gerileme testleri yapmamıza rağmen, bu testler işlevsellikteki değişiklik konusunda bizi uyarmayı başaramadı çünkü gerileme testleri rastgele değerin içeriği/yapısı yerine iş akışları ve işlevselliğe yönelikti.”
“Ne yazık ki, her senaryo için eski rastgele değer uygulamalarını yeni sistemdeki rastgele değer uygulamalarıyla karşılaştırmak için hiçbir inceleme yapılmadı. Bu değerlendirmeleri yapmış olsaydık, sistemin rastgele değere gerektiğinde alt çizgi önekini otomatik olarak eklemediğini daha erken öğrenmiş olurduk.”
Daha sonra 11 Haziran 2024’te DigiCert, rastgele değer oluşturma sürecini yenilediğini ve kullanıcı deneyimini geliştirme projesinin sınırları içerisinde alt çizgi önekinin manuel olarak eklenmesini ortadan kaldırdığını söyledi, ancak “bu UX değişikliğini eski sistemdeki alt çizgi akışıyla karşılaştırmada” yine başarısız olduğunu kabul etti.
Şirket, uyumsuzluk sorununun, ismini vermeyen bir müşterinin doğrulamada kullanılan rastgele değerlerle ilgili olarak kendilerine ulaşması ve daha derinlemesine bir inceleme yapılması için “birkaç hafta önce” kadar keşfedilmediğini söyledi.
Ayrıca, olayın geçerli alan doğrulamalarının yaklaşık %0,4’ünü etkilediğini ve bunun da bir rapora göre güncelleme İlgili Bugzilla raporuna göre 83.267 sertifika ve 6.807 müşteri etkileniyor.
Bildirilen müşterilerimize, DigiCert hesaplarına giriş yaparak, Sertifika İmzalama Talebi (CSR) oluşturarak ve DCV’yi geçtikten sonra sertifikalarını yeniden düzenleyerek sertifikalarını mümkün olan en kısa sürede değiştirmeleri önerilir.
Bu gelişme, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) bir uyarı yayınlamasına neden oldu. belirten “Bu sertifikaların iptali, güvenli iletişim için bu sertifikalara güvenen web sitelerinde, hizmetlerde ve uygulamalarda geçici kesintilere neden olabilir.”
