DigiCert trekt meer dan 83.000 SSL-certificaten in vanwege toezicht op domeinvalidatie

Certificeringsinstantie (CA) DigiCert heeft gewaarschuwd dat het binnen 24 uur een deel van de SSL/TLS-certificaten zal intrekken vanwege een fout in de manier waarop wordt gecontroleerd of een digitaal certificaat is uitgegeven aan de rechtmatige eigenaar van een domein.

Het bedrijf heeft aangegeven dat het certificaten gaat intrekken die niet over de juiste Domain Control Validation (DCV) beschikken.

“Voordat een certificaat aan een klant wordt uitgegeven, valideert DigiCert de controle of het eigendom van de klant over de domeinnaam waarvoor hij een certificaat aanvraagt, met behulp van een van de verschillende methoden die zijn goedgekeurd door het CA/Browser Forum (CABF)”, aldus het rapport.

Eén van de manieren waarop dit gebeurt, is door de klant een DNS CNAME-record in te stellen met een willekeurige waarde die DigiCert aan hen verstrekt. DigiCert voert vervolgens een DNS-opzoekactie uit voor het betreffende domein om te controleren of de willekeurige waarden hetzelfde zijn.

Volgens DigiCert wordt de willekeurige waarde voorafgegaan door een onderstrepingsteken. Dit voorkomt een mogelijke botsing met een daadwerkelijk subdomein dat dezelfde willekeurige waarde gebruikt.

Wat het bedrijf uit Utah ontdekte, was dat het vergeten was het onderstrepingsteken als voorvoegsel toe te voegen aan de willekeurige waarde die in sommige op CNAME gebaseerde validatiegevallen werd gebruikt.

Het probleem vindt zijn oorsprong in een reeks wijzigingen die vanaf 2019 zijn doorgevoerd om de onderliggende architectuur te vernieuwen. Hierbij is de code die een onderstrepingsteken als voorvoegsel toevoegde, verwijderd en vervolgens ‘aan enkele paden in het bijgewerkte systeem toegevoegd’, maar niet aan één pad dat het onderstrepingsteken niet automatisch toevoegde en ook niet controleerde of de willekeurige waarde een vooraf toegevoegd onderstrepingsteken had.

“Het ontbreken van een automatisch onderstrepingsteken als voorvoegsel werd niet opgemerkt tijdens de cross-functionele teambeoordelingen die plaatsvonden vóór de implementatie van het bijgewerkte systeem”, aldus DigiCert.

“Hoewel we regressietesten hadden, konden deze tests ons niet waarschuwen voor de wijziging in functionaliteit. De regressietesten waren namelijk gericht op workflows en functionaliteit in plaats van op de inhoud/structuur van de willekeurige waarde.”

“Helaas zijn er geen beoordelingen uitgevoerd om de legacy random value-implementaties te vergelijken met de random value-implementaties in het nieuwe systeem voor elk scenario. Als we die evaluaties hadden uitgevoerd, hadden we eerder geleerd dat het systeem niet automatisch het underscore-voorvoegsel aan de random value toevoegde waar nodig.”

Vervolgens liet DigiCert op 11 juni 2024 weten dat het het proces voor het genereren van willekeurige waarden had vernieuwd en de handmatige toevoeging van het onderstrepingsteken als voorvoegsel had geëlimineerd binnen de grenzen van een project ter verbetering van de gebruikerservaring. Maar het gaf ook toe dat het opnieuw had nagelaten om ‘deze UX-wijziging te vergelijken met de onderstrepingstekenstroom in het oude systeem’.

Het bedrijf zei dat het het probleem van de non-conformiteit pas “enkele weken geleden” ontdekte, toen een anonieme klant contact met hem opnam over de willekeurige waarden die bij de validatie werden gebruikt, wat aanleiding gaf tot een grondiger onderzoek.

Ook werd opgemerkt dat het incident gevolgen heeft voor ongeveer 0,4% van de toepasselijke domeinvalidaties. Volgens een update van het gerelateerde Bugzilla-rapport betreft het 83.267 certificaten en 6.807 klanten.

Aangemelde klanten wordt aangeraden hun certificaten zo snel mogelijk te vervangen door in te loggen op hun DigiCert-account, een Certificate Signing Request (CSR) te genereren en ze opnieuw uit te geven nadat de DCV is goedgekeurd.

Deze ontwikkeling heeft ertoe geleid dat het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) een waarschuwing heeft gepubliceerd waarin staat dat “het intrekken van deze certificaten kan leiden tot tijdelijke onderbrekingen van websites, diensten en toepassingen die afhankelijk zijn van deze certificaten voor veilige communicatie.”

Thijs Van der Does