La autoridad de certificación (CA) DigiCert advirtió que revocará un subconjunto de certificados SSL/TLS dentro de las 24 horas debido a un descuido en la forma en que verificó si un certificado digital se emite al propietario legítimo de un dominio.
La compañía dijo que tomará la medida de revocar los certificados que no tengan la Validación de Control de Dominio adecuada (VCD).
«Antes de emitir un certificado a un cliente, DigiCert valida el control o la propiedad del cliente sobre el nombre de dominio para el que solicita un certificado utilizando uno de varios métodos aprobados por el CA/Browser Forum (CABF),» él dicho.
Una de las formas de hacerlo depende de que el cliente configure un Registro DNS CNAME que contiene un valor aleatorio que les proporciona DigiCert, que luego realiza una búsqueda de DNS para el dominio en cuestión para asegurarse de que los valores aleatorios sean los mismos.
El valor aleatorio, según DigiCert, tiene como prefijo un carácter de subrayado para evitar una posible colisión con un subdominio real que utiliza el mismo valor aleatorio.
Lo que descubrió la empresa con sede en Utah fue que no había incluido el prefijo de guión bajo con el valor aleatorio utilizado en algunos casos de validación basados en CNAME.
El problema tiene sus raíces en una serie de cambios que se implementaron a partir de 2019 para renovar la arquitectura subyacente, como parte de la cual se eliminó el código que agregaba un prefijo de guión bajo y posteriormente se «agregó a algunas rutas en el sistema actualizado», pero no a una ruta que no lo agregó automáticamente ni verificó si el valor aleatorio tenía un guión bajo preagregado.
«La omisión de un prefijo de subrayado automático no fue detectada durante las revisiones del equipo multifuncional que se realizaron antes de la implementación del sistema actualizado», dijo DigiCert.
«Si bien teníamos implementadas pruebas de regresión, esas pruebas no nos alertaron sobre el cambio en la funcionalidad porque las pruebas de regresión estaban enfocadas en flujos de trabajo y funcionalidad en lugar del contenido/estructura del valor aleatorio».
«Lamentablemente, no se realizaron revisiones para comparar las implementaciones de valores aleatorios heredados con las implementaciones de valores aleatorios en el nuevo sistema para cada escenario. Si hubiéramos realizado esas evaluaciones, nos habríamos enterado antes de que el sistema no agregaba automáticamente el prefijo de guión bajo al valor aleatorio cuando era necesario».
Posteriormente, el 11 de junio de 2024, DigiCert afirmó que renovó el proceso de generación de valores aleatorios y eliminó la adición manual del prefijo de subrayado dentro de los límites de un proyecto de mejora de la experiencia del usuario, pero reconoció que nuevamente no logró «comparar este cambio de UX con el flujo de subrayado en el sistema heredado».
La empresa dijo que no descubrió el problema de incumplimiento hasta «hace varias semanas» cuando un cliente anónimo se puso en contacto con ellos en relación con los valores aleatorios utilizados en la validación, lo que provocó una revisión más profunda.
También señaló que el incidente afecta aproximadamente al 0,4% de las validaciones de dominio aplicables, lo que, según un actualizar Según el informe relacionado de Bugzilla, afecta a 83.267 certificados y 6.807 clientes.
Se recomienda a los clientes notificados que reemplacen sus certificados lo antes posible iniciando sesión en sus cuentas de DigiCert, generando una Solicitud de Firma de Certificado (CSR) y volviéndolos a emitir después de pasar la DCV.
El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) a publicar una alerta, declarando que «la revocación de estos certificados puede causar interrupciones temporales en sitios web, servicios y aplicaciones que dependen de estos certificados para una comunicación segura».