文/林妍溱 | 2024-08-05發表
SSL數位憑證機構(Certificate Authority,CA)DigiCert昨(4)日宣布已註銷未做好適當驗證的8萬多個憑證,並要求用戶在本周末前更換新憑證。
撤銷憑證的原因是DigiCert未能做好網域控制驗證(Domain Control Validation,DCV)。DCV是指DigiCert將憑證發放給客戶前,會先驗證他們呼叫憑證的網域名是否具有控管或持有權利。其中一種方法是客戶在其網域名的DNS別名(CNAME)紀錄加入一組由DigiCert提供的隨機值,DigiCert之後會進行DNS查詢驗證是否找到相同的隨機值,符合者才會獲得提供網域控制權,即獲頒憑證。
而DigiCert提供在DNS CNAME增加隨機值的方法之一,是利用前綴(prefix)格式,以底線符號加入隨機值。這種格式的前綴是為了確保隨機值不會和使用相同隨機值的實際網域名搞混。雖然DNS CNAME紀錄未前綴加入隨機值的機率不高,但仍然存在;最近DigiCert發現在CNAME-based的網域驗證案例中,有將近0.4%已通過者其CNAME並未加入底線前綴的隨機值。按照CA/Browser Forum(CABF)的規定,這些網域憑證必須在24小時內註銷,無一例外。
被註銷的憑證主要影響TLS憑證,少部份S/MIME憑證也受影響。若用戶S/MIME憑證遭到註銷,其電子郵件還是能使用,但無法使用電子郵件加密,因此,在用戶未能更換S/MIME憑證前,收件者只能仰賴郵件用戶端的信任警告來確保信件的安全性。
根據DigiCert的bugzilla報告,這次事件影響6,807名訂閱用戶的83,267張數位憑證。
DigiCert要求用戶必須在世界協調時間(UTC)8月9日20:30(臺灣時間8月10日凌晨4:30)前換用新憑證。TLS/SSL憑證用戶可登入DigiCert CertCentral帳號檢視被註銷的憑證,以及產生新的憑證。S/MIME憑證用戶也可在CertCentral帳號下依據指示讀取已註銷憑證及產生新憑證。
線