DigiCert vai revogar centenas de certificados por falha na validação dos domínios

Publicado em por

DigiCert vai revogar centenas de certificados por falha na validação dos domínios

A DigiCert confirmou que vai revogar centenas de certificados SSL/TLS, depois de ter sido descoberto um bug na forma como os clientes poderiam verificar os domínios associados a cada certificado.

Desconhece-se o valor exato de certificados afetados por este bug, mas a empresa afirma que cerca de 0.4% dos certificados emitidos entre Agosto de 2019 e Junho de 2024 podem ter sido afetados.

A DigiCert é uma das mais reconhecidas entidades autoritárias para criação de certificados SSL e TLS. Estes certificados são usados para encriptar os dados enviados entre os sistemas dos utilizadores, em websites e aplicações, e os servidores das entidades, evitando possíveis roubos de dados durante o trajeto dos mesmos.

Quando um certificado é emitido, é necessário realizar uma verificação do domínio, conhecido como Domain Control Verification (DCV). Isto permite garantir que a pessoa a emitir o certificado é a responsável pelo domínio em questão.

Esta verificação é normalmente feita usando os registos DNS – através de um registo CNAME personalizados. Esta verificação deve ser feita por um subdomínio aleatório, contendo também um underscore no nome.

Porém, a DigiCert afirma que uma atualização feita ao seu sistema em Agosto de 2019 terá removido a necessidade deste underscore em alguns dos seus certificados e validações, o que viola as regras estabelecidas para este processo.

A falha não terá sido aplicada em todos os certificados, mas algumas entidades podem ter conseguido realizar a validação dos domínios com um formato incorreto do registo DNS.

Este problema não foi verificado durante mais de cinco anos, sendo que, apenas em Julho deste ano, a empresa revelou ter descoberto que algumas verificações podem ter sido feitas com o formato incorreto.

Face ao problema, a empresa revelou que vai revogar os certificados afetados. Esta revogação já estará a ser realizada, portanto quem tenha certificados que foram emitidos com esta validação incorreta poderão ter de re-emitir os mesmos novamente.