L’autorité de certification (CA) DigiCert a prévenu qu’elle révoquerait un sous-ensemble de certificats SSL/TLS dans les 24 heures en raison d’un oubli dans la manière dont elle a vérifié si un certificat numérique est délivré au propriétaire légitime d’un domaine.
La société a déclaré qu’elle prendrait la mesure de révoquer les certificats qui ne disposent pas d’une validation de contrôle de domaine appropriée (DCV).
« Avant de délivrer un certificat à un client, DigiCert valide le contrôle ou la propriété du client sur le nom de domaine pour lequel il demande un certificat en utilisant l’une des nombreuses méthodes approuvées par le CA/Browser Forum (CABF), » il dit.
L’une des façons d’y parvenir repose sur la configuration par le client d’un Enregistrement DNS CNAME contenant une valeur aléatoire qui leur est fournie par DigiCert, qui effectue ensuite une recherche DNS pour le domaine en question pour s’assurer que les valeurs aléatoires sont les mêmes.
La valeur aléatoire, selon DigiCert, est préfixée par un caractère de soulignement afin d’éviter une éventuelle collision avec un sous-domaine réel qui utilise la même valeur aléatoire.
Ce que l’entreprise basée dans l’Utah a découvert, c’est qu’elle n’avait pas inclus le préfixe de soulignement avec la valeur aléatoire utilisée dans certains cas de validation basés sur CNAME.
Le problème trouve ses racines dans une série de changements qui ont été adoptés à partir de 2019 pour remanier l’architecture sous-jacente, dans le cadre desquels le code ajoutant un préfixe de soulignement a été supprimé puis « ajouté à certains chemins dans le système mis à jour » mais pas à un chemin qui ne l’a pas ajouté automatiquement ni vérifié si la valeur aléatoire avait un trait de soulignement pré-ajouté.
« L’omission d’un préfixe de soulignement automatique n’a pas été détectée lors des examens d’équipe interfonctionnels qui ont eu lieu avant le déploiement du système mis à jour », a déclaré DigiCert.
« Bien que nous ayons mis en place des tests de régression, ceux-ci n’ont pas réussi à nous alerter du changement de fonctionnalité, car les tests de régression étaient limités aux flux de travail et aux fonctionnalités plutôt qu’au contenu/à la structure de la valeur aléatoire. »
« Malheureusement, aucune analyse n’a été réalisée pour comparer les implémentations de valeurs aléatoires héritées avec les implémentations de valeurs aléatoires dans le nouveau système pour chaque scénario. Si nous avions effectué ces évaluations, nous aurions appris plus tôt que le système n’ajoutait pas automatiquement le préfixe de soulignement à la valeur aléatoire lorsque cela était nécessaire. »
Par la suite, le 11 juin 2024, DigiCert a déclaré avoir réorganisé le processus de génération de valeurs aléatoires et éliminé l’ajout manuel du préfixe de soulignement dans les limites d’un projet d’amélioration de l’expérience utilisateur, mais a reconnu qu’il n’avait de nouveau pas réussi à « comparer ce changement d’expérience utilisateur avec le flux de soulignement dans l’ancien système ».
La société a déclaré qu’elle n’avait découvert le problème de non-conformité que « il y a plusieurs semaines », lorsqu’un client anonyme l’a contacté au sujet des valeurs aléatoires utilisées dans la validation, ce qui a donné lieu à un examen plus approfondi.
Il a également noté que l’incident affecte environ 0,4 % des validations de domaine applicables, ce qui, selon une mise à jour Selon le rapport Bugzilla associé, cela affecte 83 267 certificats et 6 807 clients.
Il est recommandé aux clients avertis de remplacer leurs certificats dès que possible en se connectant à leurs comptes DigiCert, en générant une demande de signature de certificat (CSR) et en les réémettant après avoir réussi le DCV.
Cette évolution a incité l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à publier une alerte, déclarant que « la révocation de ces certificats peut entraîner des perturbations temporaires des sites Web, des services et des applications qui s’appuient sur ces certificats pour une communication sécurisée ».