DigiCert ha comenzado el proceso de revocación de 83.000 certificados afectados por un problema de validación recientemente descubierto, pero algunos clientes de infraestructuras críticas están solicitando más tiempo para la reemisión de sus certificados.
El 29 de julio, DigiCert informó a sus clientes sobre un incidente relacionado con la validación de dominios, indicando que, debido a las estrictas reglas del CA/Browser Forum (CABF), necesitaba revocar algunos certificados dentro de un plazo de 24 horas. Según la empresa, aproximadamente el 0.4% de las validaciones de dominio aplicables se vieron afectadas.
Un representante de DigiCert clarificó en conversaciones con las partes interesadas que 83.267 certificados y 6.807 suscriptores están afectados. Algunos de estos clientes pudieron reemitir sus certificados rápidamente, pero otros no podrían hacerlo dentro del plazo de 24 horas.
“Lamentablemente, muchos otros clientes que operan infraestructuras críticas, redes de telecomunicaciones vitales, servicios en la nube e industrias de atención médica no están en condiciones de ser revocados sin interrupciones críticas del servicio. Aunque hemos desplegado automatización con varios clientes dispuestos, la realidad es que muchas grandes organizaciones no pueden reemitir y desplegar nuevos certificados en todas partes a tiempo”, dijo Jeremy Rowley, CISO de DigiCert.
En una notificación actualizada, DigiCert informó que ha estado trabajando con representantes de navegadores y clientes para retrasar las revocaciones en circunstancias excepcionales, a fin de evitar la interrupción de servicios críticos. No obstante, la empresa destacó que “todos los certificados afectados por este incidente, independientemente de las circunstancias, serán revocados a más tardar el sábado 3 de agosto de 2024, a las 19:30 UTC.”
Rowley señaló que algunos clientes han iniciado acciones legales contra DigiCert en un intento de bloquear la revocación de los certificados.
Los certificados están siendo revocados debido a un problema relacionado con el proceso utilizado por DigiCert para validar que un cliente que solicita un certificado TLS para un dominio es realmente el propietario o administrador de ese dominio. Una opción es que los clientes añadan un registro DNS CNAME con un valor aleatorio proporcionado por DigiCert a su dominio. El valor aleatorio proporcionado por DigiCert está precedido por un carácter de subrayado para evitar colisiones entre el valor y el nombre de dominio. Sin embargo, el prefijo de subrayado no se añadió en algunos casos desde 2019.
Para cumplir con las reglas del CABF, DigiCert debe revocar certificados con un problema en su validación de dominio dentro de 24 horas, sin excepción.
Andrew Ayer, fundador de SSLMate y experto en certificados digitales, cree que la notificación pública de DigiCert sobre este incidente “subestima completamente el impacto de seguridad del incumplimiento”.
“[…] esto es verdaderamente un incidente crítico de seguridad, ya que existe un riesgo real […] de que esta falla podría haber sido explotada para obtener certificados no autorizados. La revocación de los certificados validados incorrectamente es crucial para la seguridad”, dijo Ayer.
Actualización añadida el 6 de agosto de 2024:
Steven Job, uno de los propios expertos en DNS de DigiCert, revisó la situación en los días posteriores a los comentarios de Ayer y concluyó que “hay prácticamente un 0% de probabilidad de que se haya creado un certificado de dominio de manera incorrecta”.
Tim Hollebeek, de DigiCert, señaló después de la publicación de este artículo: “Hemos tenido a nuestros expertos en DNS examinando de cerca si algún certificado fue emitido incorrectamente debido a este error y no hemos encontrado evidencia de que alguno de estos certificados haya sido emitido a alguien que no fuera el destinatario previsto. Hemos examinado la lista de dominios afectados y los hemos comparado con los ataques teóricos que se han sugerido, y en la mayoría de los casos, las acciones sugeridas no pueden llevarse a cabo con éxito, y no hay evidencia de que alguien siquiera haya intentado hacerlo”.
Fuente: DigiCert y Security news
