DigiCert mendesak operator infrastruktur penting untuk meminta penundaan jika mereka tidak dapat menerbitkan ulang sertifikat mereka, seperti yang dipersyaratkan oleh proses pencabutan massal sertifikat yang sedang berlangsung yang diumumkan pada hari Selasa.
Perusahaan tersebut mencabut secara massal sertifikat keamanan lapisan transportasi (TLS) karena masalah ketidakpatuhan pada verifikasi kontrol domain (DCV).
Prosedur ini mengharuskan 6.807 pelanggan yang terdampak untuk menerbitkan ulang 83.267 sertifikat dalam waktu 24 jam pada tanggal 31 Juli, 19:30 UTC, setelah masuk ke akun DigiCert CertCentral mereka untuk mengidentifikasi sertifikat yang terdampak.
Jika prosesnya tidak selesai sebelum tanggal tersebut, situs web, layanan, atau aplikasi yang menggunakan sertifikat TLS yang dicabut akan kehilangan konektivitas.
DigiCert mengidentifikasi pembaruan sistem pada bulan Agustus 2019 sebagai penyebab masalah tersebut, yang menyebabkan beberapa validasi dilakukan tanpa awalan garis bawah hingga ditemukan pada tanggal 29 Juli. Masalah tersebut telah diperbaiki beberapa minggu sebelumnya, pada tanggal 11 Juni, sebagai bagian dari proyek peningkatan pengalaman pengguna.
Penundaan infrastruktur kritis
Sementara DigiCert mengatakan bahwa pelanggan dapat meminta penundaan, ini hanya berlaku untuk operator infrastruktur penting yang ketidakmampuannya untuk mengganti sertifikat yang terkena dampak tepat waktu dapat mengganggu layanan penting.
“Sayangnya, beberapa pelanggan yang mengoperasikan infrastruktur penting tidak dapat menerbitkan ulang dan menerapkan semua sertifikat mereka tepat waktu tanpa gangguan layanan penting,” kata perusahaan tersebut. dikatakan dalam pemberitahuan insiden terbaru pada hari Rabu.
“Untuk menghindari gangguan pada layanan penting, kami telah menghubungi perwakilan browser bersama pelanggan ini selama beberapa jam terakhir. Berdasarkan diskusi ini, kami sekarang berada dalam posisi untuk menunda pencabutan dalam keadaan luar biasa.”
Mereka yang belum mengganti sertifikatnya harus mengirim email ke delayed-revocation-request@digicert.com dengan ID Akun CertCentral mereka, keadaan luar biasa yang memerlukan penundaan pencabutan, dan tanggal penyelesaian yang direncanakan (paling lambat Sabtu, 3 Agustus, 19:30 UTC).
DigiCert akan menggunakan informasi ini untuk mengajukan permintaan penundaan pencabutan kepada perwakilan browser. Jika DigiCert tidak menerima permintaan penundaan hingga Rabu, 31 Juli, 19:30 UTC, DigiCert akan menganggap sertifikat telah diganti dan akan mencabutnya.
“Semua nomor seri sertifikat yang terdampak akan tetap tercantum di portal DigiCert Anda dan akan dihapus setelah dicabut. Semua sertifikat yang terdampak oleh insiden ini, apa pun situasinya, akan dicabut paling lambat Sabtu, 3 Agustus 2024, 19:30 UTC,” tambah perusahaan tersebut.
CISA juga diperingatkan bahwa DigiCert mencabut sejumlah sertifikat TLS dan mendesak pelanggan untuk menghubungi perusahaan “jika tidak dapat menerbitkan ulang/mengubah kunci sertifikat pada batas waktu pencabutan yang diperbarui: 3:30 siang, EDT, 31 Juli 2024.”
