Büyük bir sertifika otoritesi olan DigiCert, Alan Denetimi Doğrulama hatası nedeniyle binlerce SSL/TLS sertifikasını iptal edecek. Bu durum birçok web sitesini etkileyebilir.
Şirket, DNS tabanlı doğrulama sürecindeki bir gözetimin, geçerli alan adı doğrulamalarının yaklaşık %0,4’ünü etkilediğini keşfetti.
Sorun, DigiCert’in CNAME tabanlı alan doğrulaması için kullanılan rastgele değere alt çizgi öneki eklememesinden kaynaklanmaktadır. Görünüşte önemsiz olsa da, bu gözetim CA/Tarayıcı Forumu (CABF) tarafından uygun alan denetimi doğrulaması için belirlenen katı yönergeleri ihlal etmektedir.
CABF Temel Gereksinimleri, etki alanı doğrulaması için DNS CNAME kayıtları kullanıldığında, belirli durumlarda rastgele değerin önüne bir alt çizgi karakteri eklenmesi gerektiğini zorunlu kılar.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
Bu gereklilik, doğrulama alt etki alanının gerçek bir etki alanı adıyla çakışmamasını sağlar; böyle bir çakışma olasılığı son derece düşük olsa bile.
DigiCert, sertifikalarını 24 saat içinde değiştirmeleri gereken etkilenen müşterileri bilgilendirdi. Bu acil zaman çizelgesi, istisnasız olarak uyumsuz sertifikaların keşfedildikten sonra 24 saat içinde iptal edilmesini gerektiren CABF kurallarından kaynaklanmaktadır.
“Alan adı doğrulamasıyla ilgili herhangi bir sorun CABF tarafından ciddi bir sorun olarak değerlendirilir ve derhal işlem yapılmasını gerektirir. Uyulmaması, Sertifika Yetkilisine karşı güvensizliğe yol açabilir. Bu nedenle, keşfedildikten sonraki 24 saat içinde etkilenen tüm sertifikaları iptal etmeliyiz. Hiçbir uzatma veya gecikmeye izin verilmez. Bu durum sizin için bir iş kesintisine neden olursa özür dileriz ve alan adınızı doğrulamanıza ve derhal yedek sertifikalar vermenize yardımcı olmak için hazırız,” dedi Digicert.
Etkilenen müşterilere şunlar önerilir:
- DigiCert CertCentral hesaplarına giriş yapın
- Etkilenen sertifikaları tanımlayın
- Etkilenen sertifikaları yeniden düzenleyin veya yeniden anahtarlayın
- Gerekli ek doğrulama adımlarını tamamlayın
- Yeni verilen SSL/TLS sertifikalarını yükleyin
DigiCert, sorunun kaynağını Ağustos 2019’da alan adı doğrulama sistemlerinde yapılan değişikliklerden kaynaklandığını tespit etti. Şirketin modernizasyon çabaları, regresyon testlerindeki sınırlamalar nedeniyle tespit edilemeyen doğrulama sürecindeki önemli bir adımı yanlışlıkla ortadan kaldırdı.
Sertifika İptali nasıl kontrol edilir
Certutil Komut Satırı Aracı: Windows’ta kullanılabilen bu araç, sertifikaları ve CRL’leri doğrulayabilir.
certutil -f -urlfetch -verify mycertificatefile.cerOCSP Talebi Gönderme: Önceki adımda elde edilen URL’ye bir OCSP isteği göndermek için OpenSSL gibi bir araç kullanın:
openssl ocsp -issuer issuer.crt -cert cert.crt -url
Protect Your Business Emails From Spoofing, Phishing & BEC with AI-Powered Security | Free Demo