L’autorit\u00e9 de certification (CA) DigiCert a pr\u00e9venu qu’elle r\u00e9voquerait un sous-ensemble de certificats SSL\/TLS dans les 24 heures en raison d’un oubli dans la mani\u00e8re dont elle a v\u00e9rifi\u00e9 si un certificat num\u00e9rique est d\u00e9livr\u00e9 au propri\u00e9taire l\u00e9gitime d’un domaine.<\/p>\n
La soci\u00e9t\u00e9 a d\u00e9clar\u00e9 qu’elle prendrait la mesure de r\u00e9voquer les certificats qui ne disposent pas d’une validation de contr\u00f4le de domaine appropri\u00e9e (DCV<\/a>).<\/p>\n \u00ab Avant de d\u00e9livrer un certificat \u00e0 un client, DigiCert valide le contr\u00f4le ou la propri\u00e9t\u00e9 du client sur le nom de domaine pour lequel il demande un certificat en utilisant l’une des nombreuses m\u00e9thodes approuv\u00e9es par le CA\/Browser Forum (CABF<\/a>),” il dit<\/a>.<\/p>\n L\u2019une des fa\u00e7ons d\u2019y parvenir repose sur la configuration par le client d\u2019un Enregistrement DNS CNAME<\/a> contenant une valeur al\u00e9atoire qui leur est fournie par DigiCert, qui effectue ensuite une recherche DNS pour le domaine en question pour s’assurer que les valeurs al\u00e9atoires sont les m\u00eames.<\/p>\n La valeur al\u00e9atoire, selon DigiCert, est pr\u00e9fix\u00e9e par un caract\u00e8re de soulignement afin d’\u00e9viter une \u00e9ventuelle collision avec un sous-domaine r\u00e9el qui utilise la m\u00eame valeur al\u00e9atoire.<\/p>\n Ce que l’entreprise bas\u00e9e dans l’Utah a d\u00e9couvert, c’est qu’elle n’avait pas inclus le pr\u00e9fixe de soulignement avec la valeur al\u00e9atoire utilis\u00e9e dans certains cas de validation bas\u00e9s sur CNAME.<\/p>\n Le probl\u00e8me trouve ses racines dans une s\u00e9rie de changements qui ont \u00e9t\u00e9 adopt\u00e9s \u00e0 partir de 2019 pour remanier l’architecture sous-jacente, dans le cadre desquels le code ajoutant un pr\u00e9fixe de soulignement a \u00e9t\u00e9 supprim\u00e9 puis \u00ab ajout\u00e9 \u00e0 certains chemins dans le syst\u00e8me mis \u00e0 jour \u00bb mais pas \u00e0 un chemin qui ne l’a pas ajout\u00e9 automatiquement ni v\u00e9rifi\u00e9 si la valeur al\u00e9atoire avait un trait de soulignement pr\u00e9-ajout\u00e9.<\/p>\n \u00ab L’omission d’un pr\u00e9fixe de soulignement automatique n’a pas \u00e9t\u00e9 d\u00e9tect\u00e9e lors des examens d’\u00e9quipe interfonctionnels qui ont eu lieu avant le d\u00e9ploiement du syst\u00e8me mis \u00e0 jour \u00bb, a d\u00e9clar\u00e9 DigiCert.<\/p>\n \u00ab Bien que nous ayons mis en place des tests de r\u00e9gression, ceux-ci n’ont pas r\u00e9ussi \u00e0 nous alerter du changement de fonctionnalit\u00e9, car les tests de r\u00e9gression \u00e9taient limit\u00e9s aux flux de travail et aux fonctionnalit\u00e9s plut\u00f4t qu’au contenu\/\u00e0 la structure de la valeur al\u00e9atoire. \u00bb<\/p>\n \u00ab Malheureusement, aucune analyse n’a \u00e9t\u00e9 r\u00e9alis\u00e9e pour comparer les impl\u00e9mentations de valeurs al\u00e9atoires h\u00e9rit\u00e9es avec les impl\u00e9mentations de valeurs al\u00e9atoires dans le nouveau syst\u00e8me pour chaque sc\u00e9nario. Si nous avions effectu\u00e9 ces \u00e9valuations, nous aurions appris plus t\u00f4t que le syst\u00e8me n’ajoutait pas automatiquement le pr\u00e9fixe de soulignement \u00e0 la valeur al\u00e9atoire lorsque cela \u00e9tait n\u00e9cessaire. \u00bb<\/p>\n Par la suite, le 11 juin 2024, DigiCert a d\u00e9clar\u00e9 avoir r\u00e9organis\u00e9 le processus de g\u00e9n\u00e9ration de valeurs al\u00e9atoires et \u00e9limin\u00e9 l’ajout manuel du pr\u00e9fixe de soulignement dans les limites d’un projet d’am\u00e9lioration de l’exp\u00e9rience utilisateur, mais a reconnu qu’il n’avait de nouveau pas r\u00e9ussi \u00e0 \u00ab comparer ce changement d’exp\u00e9rience utilisateur avec le flux de soulignement dans l’ancien syst\u00e8me \u00bb.<\/p>\n La soci\u00e9t\u00e9 a d\u00e9clar\u00e9 qu’elle n’avait d\u00e9couvert le probl\u00e8me de non-conformit\u00e9 que \u00ab il y a plusieurs semaines \u00bb, lorsqu’un client anonyme l’a contact\u00e9 au sujet des valeurs al\u00e9atoires utilis\u00e9es dans la validation, ce qui a donn\u00e9 lieu \u00e0 un examen plus approfondi.<\/p>\n Il a \u00e9galement not\u00e9 que l’incident affecte environ 0,4 % des validations de domaine applicables, ce qui, selon une mise \u00e0 jour<\/a> Selon le rapport Bugzilla associ\u00e9, cela affecte 83 267 certificats et 6 807 clients.<\/p>\n Il est recommand\u00e9 aux clients avertis de remplacer leurs certificats d\u00e8s que possible en se connectant \u00e0 leurs comptes DigiCert, en g\u00e9n\u00e9rant une demande de signature de certificat (CSR) et en les r\u00e9\u00e9mettant apr\u00e8s avoir r\u00e9ussi le DCV.<\/p>\n Cette \u00e9volution a incit\u00e9 l’Agence am\u00e9ricaine de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des infrastructures (CISA) \u00e0 publier une alerte, d\u00e9clarant<\/a> que \u00ab la r\u00e9vocation de ces certificats peut entra\u00eener des perturbations temporaires des sites Web, des services et des applications qui s’appuient sur ces certificats pour une communication s\u00e9curis\u00e9e \u00bb.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/DigiCert-va-revoquer-plus-de-83-000-certificats-SSL-en.png\")
<\/a><\/center><\/section>\n