Sertifika yetkilisi (CA) DigiCert, bir dijital sertifikanın bir alan adının hak sahibine verilip verilmediğinin doğrulanmasında yapılan bir hata nedeniyle 24 saat içinde SSL/TLS sertifikalarının bir alt kümesini iptal edeceği konusunda uyarıda bulundu.
Şirket, uygun Alan Kontrol Doğrulaması’na (DCV) sahip olmayan sertifikaları iptal etme adımını atacağını söyledi.
“DigiCert, bir müşteriye sertifika vermeden önce, müşterinin sertifika talep ettiği alan adı üzerindeki kontrolünü veya sahipliğini, CA/Tarayıcı Forumu (CABF) tarafından onaylanan çeşitli yöntemlerden birini kullanarak doğrular” denildi.
Bunun yapılmasının yollarından biri, müşterinin DigiCert tarafından kendisine sağlanan rastgele bir değeri içeren bir DNS CNAME kaydı oluşturmasına dayanır; ardından DigiCert, rastgele değerlerin aynı olduğundan emin olmak için söz konusu alan adı için bir DNS araması gerçekleştirir.
DigiCert’e göre rastgele değer, aynı rastgele değeri kullanan gerçek bir alt etki alanıyla olası bir çakışmayı önlemek için bir alt çizgi karakteriyle öneklenir.
Utah merkezli şirketin bulduğu şey, bazı CNAME tabanlı doğrulama vakalarında kullanılan rastgele değerle birlikte alt çizgi önekini eklemeyi başaramadığıydı.
Sorunun kökeni, 2019’da altta yatan mimariyi yenilemek için yürürlüğe giren bir dizi değişiklikten kaynaklanıyor. Bu değişikliklerin bir parçası olarak alt çizgi öneki ekleyen kod kaldırıldı ve daha sonra “güncellenen sistemdeki bazı yollara eklendi” ancak otomatik olarak eklenmeyen veya rastgele değerin önceden eklenmiş bir alt çizgisi olup olmadığını kontrol etmeyen bir yola eklenmedi.
DigiCert, “Güncellenen sistemin dağıtımından önce gerçekleşen işlevler arası ekip incelemeleri sırasında otomatik alt çizgi önekinin atlanması yakalanmadı” dedi.
“Yerinde gerileme testleri yapmamıza rağmen, bu testler işlevsellikteki değişiklik konusunda bizi uyarmayı başaramadı çünkü gerileme testleri rastgele değerin içeriği/yapısı yerine iş akışları ve işlevselliğe yönelikti.”
“Ne yazık ki, her senaryo için eski rastgele değer uygulamalarını yeni sistemdeki rastgele değer uygulamalarıyla karşılaştırmak için hiçbir inceleme yapılmadı. Bu değerlendirmeleri yapmış olsaydık, sistemin rastgele değere gerektiğinde alt çizgi önekini otomatik olarak eklemediğini daha erken öğrenmiş olurduk.”
Daha sonra 11 Haziran 2024’te DigiCert, rastgele değer oluşturma sürecini yenilediğini ve kullanıcı deneyimini geliştirme projesinin sınırları içerisinde alt çizgi önekinin manuel olarak eklenmesini ortadan kaldırdığını söyledi, ancak “bu UX değişikliğini eski sistemdeki alt çizgi akışıyla karşılaştırmada” yine başarısız olduğunu kabul etti.
Şirket, uyumsuzluk sorununun, ismini vermeyen bir müşterinin doğrulamada kullanılan rastgele değerlerle ilgili olarak kendilerine ulaşması ve daha derinlemesine bir inceleme yapılması için “birkaç hafta önce” kadar keşfedilmediğini söyledi.
Ayrıca, olayın geçerli alan adı doğrulamalarının yaklaşık %0,4’ünü etkilediği ve ilgili Bugzilla raporundaki güncellemeye göre 83.267 sertifikayı ve 6.807 müşteriyi etkilediği belirtildi.
Bildirilen müşterilerimize, DigiCert hesaplarına giriş yaparak, Sertifika İmzalama Talebi (CSR) oluşturarak ve DCV’yi geçtikten sonra sertifikalarını yeniden düzenleyerek sertifikalarını mümkün olan en kısa sürede değiştirmeleri önerilir.
Bu gelişme, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) “bu sertifikaların iptalinin, güvenli iletişim için bu sertifikalara güvenen web siteleri, hizmetler ve uygulamalarda geçici kesintilere yol açabileceğini” belirten bir uyarı yayınlamasına neden oldu.