DigiCert, Salı günü duyurulan devam eden toplu sertifika iptal süreci gereği sertifikalarını yeniden veremeyen kritik altyapı operatörlerinden gecikme talebinde bulunmalarını talep ediyor.
Şirket, etki alanı denetim doğrulaması (DCV) ile ilgili bir uyumsuzluk sorunu nedeniyle taşıma katmanı güvenliği (TLS) sertifikalarını toplu olarak iptal ediyor.
Bu prosedür, etkilenen 6.807 müşterinin, etkilenen sertifikaları belirlemek için DigiCert CertCentral hesaplarına giriş yaptıktan sonra 31 Temmuz 19:30 UTC tarihine kadar 24 saat içinde 83.267 sertifikayı yeniden düzenlemesini gerektirdi.
İşlem bu tarihten önce tamamlanmazsa iptal edilen TLS sertifikalarını kullanan web siteleri, hizmetler veya uygulamalar bağlantısını kaybedecektir.
DigiCert, sorunun nedeninin Ağustos 2019’da bir sistem güncellemesi olduğunu tespit etti ve bu da 29 Temmuz’da keşfedilene kadar bazı doğrulamaların alt çizgi öneki olmadan yapılmasına yol açtı. Sorun, kullanıcı deneyimi geliştirme projesinin bir parçası olarak haftalar önce, 11 Haziran’da düzeltildi.
Kritik altyapı gecikmeleri
DigiCert, müşterilerin gecikme talebinde bulunabileceğini söylerken, bunun yalnızca etkilenen sertifikaları zamanında değiştirememeleri nedeniyle kritik hizmetlerin kesintiye uğraması ihtimali bulunan kritik altyapı operatörleri için geçerli olduğunu belirtti.
Şirket Çarşamba günü yaptığı bir olay bildiriminde, “Ne yazık ki, kritik altyapı işleten bazı müşterilerimiz, kritik hizmet kesintileri olmadan tüm sertifikalarının yeniden yayınlanıp zamanında dağıtılması konumunda değiller” dedi.
“Kritik hizmetlerde kesinti yaşanmaması için son birkaç saattir bu müşterilerle birlikte tarayıcı temsilcileriyle görüştük. Bu görüşmelere dayanarak artık istisnai durumlarda iptalleri geciktirebilecek bir konumdayız.”
Sertifikalarını henüz değiştirmemiş olanlar, CertCentral Hesap Kimliklerini, iptalin gecikmesini gerektiren istisnai durumları ve planlanan tamamlanma tarihini (en geç 3 Ağustos Cumartesi, 19:30 UTC) [email protected] adresine e-postayla göndermelidir.
DigiCert bu bilgileri tarayıcı temsilcilerine iptali geciktirme talebinde bulunmak için kullanacaktır. DigiCert Çarşamba, 31 Temmuz 19:30 UTC’ye kadar bir gecikme talebi almazsa, sertifikaların değiştirildiğini varsayacak ve bunları iptal edecektir.
Şirket, “Etkilenen tüm sertifika seri numaraları DigiCert portalınızda listelenmeye devam edecek ve iptal edildikten sonra kaldırılacak. Bu olaydan etkilenen tüm sertifikalar, koşullar ne olursa olsun, en geç 3 Ağustos 2024 Cumartesi günü 19:30 UTC’de iptal edilecektir” diye ekledi.
CISA ayrıca DigiCert’in bir dizi TLS sertifikasını iptal ettiği konusunda uyardı ve müşterileri “güncellenen iptal son tarihi olan 31 Temmuz 2024, 15:30 EDT’ye kadar sertifikaları yeniden düzenleyememeleri/yeniden anahtarlayamamaları halinde” şirketle iletişime geçmeleri konusunda uyardı.
