DigiCert, uno dei principali fornitori di certificati SSL/TLS, ha recentemente avvertito i propri clienti riguardo a un problema tecnico che porterà alla revoca di una frazione significativa dei certificati SSL/TLS emessi. Il malfunzionamento riguarda la verifica della proprietà dei domini e richiede una rapida re-emissione dei certificati da parte delle aziende interessate. Questo articolo esplora l’origine del problema, le implicazioni per gli utenti e le misure correttive adottate da DigiCert.
Origini del problema di validazione
Un errore durato cinque anni
Il malfunzionamento risale a un aggiornamento del sistema avvenuto nel mese di agosto 2019, il quale ha comportato la rimozione della funzionalità che aggiungeva automaticamente un prefisso underscore nei percorsi di validazione di alcuni certificati. DigiCert ha spiegato che, a causa di questo errore, dal 2019 fino a oggi, alcune delle validazioni eseguite non hanno rispettato i requisiti stabiliti dal CABF che richiedono la presenza del prefisso nella verifica di controllo del dominio .
Questo bug è stato notato solo recentemente, quando il 29 luglio 2024, DigiCert ha identificato la mancanza di underscore in una piccola percentuale di certificati esaminando un rapporto separato sulla generazione di valori casuali. Il difetto ha colpito circa lo 0,4% delle validazioni effettuate dall’azienda tra agosto 2019 e giugno 2024, costringendo DigiCert a rivisitare la propria strategia di conformità .
Implicazioni per la sicurezza dei certificati
Quando un’autorità di certificazione rilascia un certificato, deve confermare che il cliente possieda realmente il dominio attraverso il processo di verifica di controllo del dominio. Non includere l’underscore può comportare un rischio di conflitto tra un dominio esistente e un sottodominio utilizzato per la verifica. Anche se la probabilità di collisione è molto bassa, i rischi connessi alla sicurezza sono considerati inaccettabili. DigiCert ha riconosciuto questo problema e ha comunicato che i certificati affetti devono essere revocati entro 24 ore, senza eccezioni, in conformità con le severe normative del CABF.
Misure correttive intraprese da DigiCert
Soluzioni al problema
Per affrontare questa situazione, DigiCert ha adottato una serie di misure correttive strategiche. In primo luogo, l’azienda ha rivisto e consolidato tutti i generatori di valori casuali utilizzati nel processo di validazione. Inoltre, ha semplificato l’esperienza utente per eliminare la necessità di aggiungere manualmente l’underscore durante la generazione dei certificati.
Un’altra iniziativa chiave è stata l’inserimento di membri del team di conformità all’interno dei processi di sviluppo per garantire che il problema non si ripresenti. DigiCert ha anche ampliato la copertura dei test per scenari basati sulla conformità , assicurandosi così che eventuali futuri malfunzionamenti vengano identificati e corretti tempestivamente.
Trasparenza e open-source
Nell’ottica di aumentare la trasparenza e la fiducia nel proprio processo di convalida, DigiCert prevede di open-sourcing il processo di DCV entro il 1 novembre 2024, permettendo così alla comunità di esaminare e contribuire al miglioramento del sistema. Questa mossa è parte di un impegno più ampio verso la responsabilità e la trasparenza, aspetti cruciali in un contesto informatico in cui la sicurezza dei dati è una priorità imprescindibile.
Procedura per i clienti interessati
Cosa devono fare i clienti
DigiCert ha comunicato che i clienti interessati devono accedere al proprio account CertCentral per identificare i certificati che sono stati colpiti. Una volta identificati, gli utenti sono tenuti a generare una nuova richiesta di firma del certificato per il dominio in questione, il che innescherà una nuova verifica di controllo del dominio. Se la richiesta di certificato supera con successo il processo di DCV, i clienti possono procedere all’emissione dei nuovi certificati attraverso il portale CertCentral, dopodiché dovranno installarli sui loro server.
È importante notare che DigiCert procederà alla revoca dei certificati affetti entro 24 ore dalla loro identificazione. Se i clienti non completano il processo di re-emissione entro questo termine, si rischia di compromettere la connettività del sito web o dell’applicazione associata.
Mancanza di comunicazione
Al momento, non è stato possibile ottenere informazioni precise da DigiCert riguardo al numero totale di certificati che saranno revocati. La situazione rimane in evoluzione, e i clienti sono esortati a monitorare le comunicazioni ufficiali da parte dell’azienda per eventuali aggiornamenti sulla questione.