证书颁发机构(CA)DigiCert发出警告称，由于在验证数字证书是否颁发给域名合法所有者的方式上存在疏忽，它将在24小时内撤销部分SSL/TLS证书。

该公司表示，将采取措施撤销没有适当域控制验证（DCV）的证书。

该公司表示：“在向客户颁发证书之前，DigiCert会使用CA/浏览器论坛(CABF)批准的几种方法之一来验证客户对其申请证书的域名的控制权或所有权。”

实现此目的的方法之一是客户设置一个DNSCNAME记录，该记录包含DigiCert提供给他们的随机值，然后对相关域执行DNS查找以确保随机值相同。

根据DigiCert，随机值以下划线字符为前缀，以防止与使用相同随机值的实际子域发生冲突。

这家位于犹他州的公司发现，在某些基于CNAME的验证案例中使用的随机值中未包含下划线前缀。

该问题的根源在于2019年开始实施的一系列变更，这些变更旨在改进底层架构，其中添加下划线前缀的代码被删除，随后“添加到更新后的系统中的某些路径中”，但并未添加到一条既不会自动添加也不会检查随机值是否带有预先附加的下划线的路径中。

DigiCert表示：“在部署更新系统之前进行的跨职能团队审查中并未发现自动下划线前缀的遗漏。”

“虽然我们已经进行了回归测试，但这些测试未能提醒我们功能的变化，因为回归测试的范围是工作流和功能，而不是随机值的内容/结构。”

“不幸的是，我们没有针对每种情况对旧版随机值实现与新系统中的随机值实现进行比较。如果我们进行了这些评估，我们就会更早地了解到系统不会在需要时自动将下划线前缀添加到随机值中。”

随后，DigiCert于2024年6月11日表示，它已在用户体验增强项目范围内改进了随机值生成流程并取消了手动添加下划线前缀的操作，但承认它再次未能“将此UX更改与旧系统中的下划线流程进行比较”。

该公司表示，直到“几周前”一位未透露姓名的客户就验证中使用的随机值提出质询时，才发现不合规问题，从而促使进行更深入的审查。

它还指出，该事件影响了大约0.4%的适用域名验证，根据相关Bugzilla报告的更新，影响了83,267个证书和6,807名客户。

建议收到通知的客户尽快登录其DigiCert帐户、生成证书签名请求(CSR)并在通过DCV后重新颁发证书。

这一事态发展促使美国网络安全和基础设施安全局(CISA)发布警告，指出“撤销这些证书可能会导致依赖这些证书进行安全通信的网站、服务和应用程序暂时中断”。

更新#

该公司表示：“DigiCert继续积极与受此事件影响的客户接触，其中许多人已经能够更换他们的证书。”“一些客户由于特殊情况申请延迟撤销，我们正在根据他们的个人情况与他们合作。我们不再接受任何延迟撤销的申请。”

其中包括运营关键基础设施的客户，该公司表示，“他们无法在不中断关键服务的情况下及时重新颁发和部署所有证书。”该公司进一步指出，所有受影响的证书，无论情况如何，都将在2024年8月3日UTC时间晚上7:30之前被撤销。

所有受影响的证书均已撤销#

DigiCert周日确认，截至2024年8月3日(UTC)晚上7:30，“所有受基于CNAME的域验证事件影响的已识别TLS证书均已被撤销”。