L’autorità di certificazione (CA) DigiCert ha avvertito che revocherà un sottoinsieme di certificati SSL/TLS entro 24 ore a causa di un errore nel verificare se un certificato digitale è stato emesso al legittimo proprietario di un dominio.
DigiCert: i motivi dietro la revoca dei certificati SSL
L’azienda ha dichiarato che prenderà la misura di revocare i certificati che non hanno una corretta Validazione del Controllo del Dominio (DCV).
“Prima di emettere un certificato a un cliente, DigiCert verifica il controllo o la proprietà del cliente sul nome di dominio per il quale richiedono un certificato utilizzando uno dei diversi metodi approvati dal CA/Browser Forum (CABF),” ha affermato DigiCert.
Uno dei metodi utilizzati prevede che il cliente configuri un record DNS CNAME (che riguarda CloudFlare, da ricordare il recente incidente) contenente un valore casuale fornito da DigiCert, che poi esegue una ricerca DNS per il dominio in questione per assicurarsi che i valori casuali siano uguali.
Il valore casuale, secondo DigiCert, è prefissato con un carattere di sottolineatura per evitare una possibile collisione con un effettivo sottodominio che utilizza lo stesso valore casuale.
Ciò che la società con sede nello Utah ha scoperto è che non aveva incluso il prefisso di sottolineatura con il valore casuale utilizzato in alcuni casi di validazione basati su CNAME.
Le origini di questo problema
Il problema ha le sue radici in una serie di cambiamenti avviati a partire dal 2019 per rinnovare l’architettura sottostante, nell’ambito dei quali il codice che aggiungeva un prefisso di sottolineatura è stato rimosso e successivamente “aggiunto a alcuni percorsi nel sistema aggiornato” ma non a un percorso che non lo aggiungeva automaticamente né controllava se il valore casuale avesse una sottolineatura pre-aggiunta.
“L’omissione di un prefisso di sottolineatura automatico non è stata rilevata durante le revisioni del team interfunzionale avvenute prima del dispiegamento del sistema aggiornato“, ha detto DigiCert, che ha aggiunto: “Anche se avevamo dei test di regressione in atto, quei test non ci hanno avvertito del cambiamento nella funzionalità perché i test di regressione erano focalizzati sui flussi di lavoro e sulla funzionalità invece che sul contenuto/struttura del valore casuale.“
Non è tutto, tant’è vero che l’azienda ha pure detto “Purtroppo, non sono state fatte revisioni per confrontare le implementazioni dei valori casuali legacy con le implementazioni dei valori casuali nel nuovo sistema per ogni scenario. Se avessimo condotto tali valutazioni, avremmo scoperto prima che il sistema non stava aggiungendo automaticamente il prefisso di sottolineatura al valore casuale dove necessario.“
Come risolverà il problema DigiCert?
Successivamente, l’11 giugno 2024, DigiCert ha rinnovato il processo di generazione dei valori casuali ed eliminato l’aggiunta manuale del prefisso di sottolineatura nell’ambito di un progetto di miglioramento dell’esperienza utente, ma ha riconosciuto di non aver nuovamente “confrontato questo cambiamento UX con il flusso della sottolineatura nel sistema legacy.”
L’azienda ha dichiarato di aver scoperto il problema di non conformità solo “diverse settimane fa” quando un cliente anonimo ha contattato l’azienda riguardo ai valori casuali utilizzati nella validazione, spingendo a una revisione più approfondita.
Ha inoltre notato che l’incidente ha avuto impatto su circa lo 0,4% delle convalide dei domini applicabili, che, secondo un aggiornamento sul report Bugzilla correlato, riguarda 83.267 certificati e 6.807 clienti.
I clienti notificati sono consigliati di sostituire i loro certificati il prima possibile accedendo ai loro account DigiCert, generando una richiesta di firma del certificato (CSR) e rilasciandoli nuovamente dopo aver superato il DCV.
Lo sviluppo ha spinto l’Agenzia per la Cybersecurity e la Sicurezza delle Infrastrutture degli Stati Uniti (CISA) a pubblicare un avviso, dichiarando che “la revoca di questi certificati potrebbe causare interruzioni temporanee ai siti web, ai servizi e alle applicazioni che si basano su questi certificati per la comunicazione sicura.”
