DigiCert memperingatkan bahwa mereka akan mencabut sertifikat SSL/TLS secara massal karena adanya bug dalam cara perusahaan memverifikasi apakah pelanggan memiliki atau mengoperasikan domain dan mengharuskan pelanggan yang terdampak untuk menerbitkan ulang sertifikat dalam waktu 24 jam.
Tidak jelas berapa banyak sertifikat yang akan dicabut selama proses ini, tetapi perusahaan mengatakan hal itu memengaruhi sekitar 0,4% dari validasi domain yang berlaku yang telah mereka lakukan antara Agustus 2019 dan Juni 2024.
DigiCert adalah salah satu otoritas sertifikat (CA) terkemuka yang menyediakan sertifikat SSL/TLS, termasuk sertifikat Domain Validated (DV), Organization Validated (OV), dan Extended Validation (EV).
Sertifikat ini digunakan untuk mengenkripsi komunikasi antara pengguna dan situs web atau aplikasi, meningkatkan keamanan terhadap pemantauan jaringan berbahaya dan serangan man-in-the-middle.
Saat menerbitkan sertifikat untuk domain, otoritas sertifikat harus terlebih dahulu melakukan Verifikasi Kontrol Domain (DCV) untuk mengonfirmasi bahwa pelanggan adalah pemilik domain tersebut.
Salah satu metode yang digunakan untuk memvalidasi kepemilikan domain adalah dengan menambahkan string dengan nilai acak dalam catatan DNS CNAME pada sertifikat, lalu melakukan pencarian DNS untuk domain tersebut guna memastikan nilai acaknya cocok.
Sesuai dengan Persyaratan dasar CABFnilai acak harus dipisahkan dengan nama domain dengan garis bawah. Jika tidak, ada risiko benturan antara domain dan subdomain yang digunakan untuk verifikasi.
“Baru-baru ini, kami mengetahui bahwa kami tidak menyertakan awalan garis bawah dengan nilai acak yang digunakan dalam beberapa kasus validasi berbasis CNAME,” menjelaskan DigiCert dalam pengumumannya.
“Hal ini berdampak pada sekitar 0,4% validasi domain yang berlaku. Berdasarkan aturan CABF yang ketat, sertifikat yang memiliki masalah dalam validasi domain harus dicabut dalam waktu 24 jam, tanpa terkecuali.”
Bug lima tahun
DigiCert mengatakan akar penyebabnya adalah pembaruan sistem pada Agustus 2019 yang menyebabkan penghapusan penambahan garis bawah otomatis di beberapa jalur validasi.
Kelalaian itu baru diketahui baru-baru ini, jadi antara Agustus 2019 dan Juni 2024, beberapa validasi dilakukan tanpa awalan garis bawah.
Pada tanggal 11 Juni 2024, proyek peningkatan pengalaman pengguna memperbaiki masalah yang masih belum ditemukan dengan menggabungkan proses pembuatan nilai acak.
Akhirnya, pada tanggal 29 Juli, DigiCert menemukan kurangnya garis bawah pada sebagian kecil sertifikat saat menyelidiki laporan terpisah tentang pembuatan nilai acak.
“Gagal menyertakan garis bawah dianggap sebagai risiko keamanan karena ada potensi terjadinya tabrakan antara domain sebenarnya dan subdomain yang digunakan untuk verifikasi,” jelas DigiCert.
“Meskipun peluang terjadinya tabrakan sangat rendah karena nilai acak memiliki setidaknya 150 bit entropi, masih ada peluang.”
DigiCert telah mengambil tindakan berikut untuk mencegah insiden serupa terulang kembali:
- Meninjau dan mengkonsolidasikan semua generator nilai acak.
- Menyederhanakan pengalaman pengguna untuk menghilangkan kebutuhan penambahan garis bawah secara manual.
- Anggota tim kepatuhan yang tertanam dalam sprint pengembangan.
- Cakupan pengujian yang diperluas untuk skenario berbasis kepatuhan.
- Berencana untuk membuka sumber DCV untuk peninjauan komunitas pada tanggal 1 November 2024.
Pelanggan sekarang harus masuk ke akun DigiCert CertCentral mereka untuk mengidentifikasi sertifikat yang terdampak.
Mereka kemudian diharuskan membuat Permintaan Penandatanganan Sertifikat (CSR) baru untuk domain tersebut, yang mendorong DigiCert untuk melakukan Verifikasi Kontrol Domain lainnya.
Setelah permintaan sertifikat melewati DCV, pelanggan dapat menerbitkan ulang sertifikat melalui portal CertCentral dan memasangnya di server mereka.
Perlu dicatat bahwa DigiCert akan mencabut sertifikat yang terdampak dalam waktu 24 jam. Jika proses ini tidak selesai sebelum waktu tersebut, maka akan mengakibatkan hilangnya konektivitas situs web atau aplikasi.
BleepingComputer menghubungi DigiCert untuk menanyakan berapa banyak sertifikat yang terkena dampak tetapi belum mendapat respons.
