DigiCert Revocará Más de 83,000 Certificados SSL Debido a un Error en la Validación del Dominio

XPoint
Publicado el 31/07/2024

La autoridad certificadora (CA) DigiCert ha advertido que revocará un subconjunto de certificados SSL/TLS dentro de 24 horas debido a un error en la verificación de si un certificado digital se emite al propietario legítimo de un dominio.

La empresa dijo que tomará la medida de revocar los certificados que no tienen la validación adecuada del control de dominio (DCV).

«Antes de emitir un certificado a un cliente, DigiCert valida el control o propiedad del cliente sobre el nombre de dominio para el cual están solicitando un certificado utilizando uno de varios métodos aprobados por el Foro CA/Browser (CABF)», dijo.

Una de las formas en que se hace esto depende de que el cliente configure un registro DNS CNAME que contenga un valor aleatorio proporcionado por DigiCert, que luego realiza una búsqueda DNS para el dominio en cuestión para asegurarse de que los valores aleatorios sean los mismos.

El valor aleatorio, según DigiCert, está precedido por un carácter de subrayado para evitar una posible colisión con un subdominio real que use el mismo valor aleatorio.

Lo que la empresa con sede en Utah descubrió fue que no incluyó el prefijo de subrayado con el valor aleatorio utilizado en algunos casos de validación basados en CNAME.

El problema tiene sus raíces en una serie de cambios que se implementaron a partir de 2019 para renovar la arquitectura subyacente, como parte de la cual se eliminó el código que añadía un prefijo de subrayado y posteriormente «se añadió a algunas rutas en el sistema actualizado» pero no a una ruta que ni lo añadía automáticamente ni comprobaba si el valor aleatorio tenía un subrayado pre-aplicado.

«La omisión de un prefijo de subrayado automático no se detectó durante las revisiones del equipo multifuncional que ocurrieron antes del despliegue del sistema actualizado», dijo DigiCert.

«Aunque teníamos pruebas de regresión en su lugar, esas pruebas no nos alertaron sobre el cambio en la funcionalidad porque las pruebas de regresión estaban enfocadas en los flujos de trabajo y la funcionalidad en lugar del contenido/estructura del valor aleatorio.»

«Desafortunadamente, no se realizaron revisiones para comparar las implementaciones de valores aleatorios heredados con las implementaciones de valores aleatorios en el nuevo sistema para cada escenario. Si hubiéramos realizado esas evaluaciones, habríamos aprendido antes que el sistema no estaba añadiendo automáticamente el prefijo de subrayado al valor aleatorio donde se necesitaba.»

Posteriormente, el 11 de junio de 2024, DigiCert dijo que renovó el proceso de generación de valores aleatorios y eliminó la adición manual del prefijo de subrayado dentro de los confines de un proyecto de mejora de la experiencia del usuario, pero reconoció que nuevamente no logró «comparar este cambio de experiencia de usuario con el flujo de subrayado en el sistema heredado.»

La empresa dijo que no descubrió el problema de incumplimiento hasta «hace varias semanas» cuando un cliente no identificado se puso en contacto sobre los valores aleatorios utilizados en la validación, lo que provocó una revisión más profunda.

También señaló que el incidente afecta aproximadamente al 0.4% de las validaciones de dominio aplicables, lo que, según una actualización en el informe relacionado de Bugzilla, afecta a 83,267 certificados y 6,807 clientes.

Se recomienda a los clientes notificados que reemplacen sus certificados lo antes posible iniciando sesión en sus cuentas de DigiCert, generando una Solicitud de Firma de Certificado (CSR) y reemitiéndolos después de pasar la validación DCV.

El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a publicar una alerta, indicando que «la revocación de estos certificados puede causar interrupciones temporales en sitios web, servicios y aplicaciones que dependen de estos certificados para la comunicación segura.»

 


 

English

DigiCert to Revoke 83,000+ SSL Certificates Due to Domain Validation Oversight

 

Certificate authority (CA) DigiCert has warned that it will be revoking a subset of SSL/TLS certificates within 24 hours due to an oversight in verifying if a digital certificate is issued to the rightful owner of a domain.

The company said it will be taking the step of revoking certificates that do not have proper Domain Control Validation (DCV).

«Before issuing a certificate to a customer, DigiCert validates the customer’s control or ownership over the domain name for which they are requesting a certificate using one of several methods approved by the CA/Browser Forum (CABF),» it said.

One of the ways this is done hinges on the customer setting up a DNS CNAME record containing a random value provided to them by DigiCert, which then performs a DNS lookup for the domain in question to make sure that the random values are the same.

The random value, per DigiCert, is prefixed with an underscore character to prevent a possible collision with an actual subdomain that uses the same random value.

What the Utah-based company found was that it had failed to include the underscore prefix with the random value used in some CNAME-based validation cases.

The issue has its roots in a series of changes that were enacted starting in 2019 to revamp the underlying architecture, as part of which the code adding an underscore prefix was removed and subsequently «added to some paths in the updated system» but not to one path that neither added it automatically nor checked if the random value had a pre-appended underscore.

«The omission of an automatic underscore prefix was not caught during the cross-functional team reviews that occurred before deployment of the updated system,» DigiCert said.

«While we had regression testing in place, those tests failed to alert us to the change in functionality because the regression tests were scoped to workflows and functionality instead of the content/structure of the random value.»

«Unfortunately, no reviews were done to compare the legacy random value implementations with the random value implementations in the new system for every scenario. Had we conducted those evaluations, we would have learned earlier that the system was not automatically adding the underscore prefix to the random value where needed.»

Subsequently, on June 11, 2024, DigiCert said it revamped the random value generation process and eliminated the manual addition of the underscore prefix within the confines of a user-experience enhancement project, but acknowledged it again failed to «compare this UX change against the underscore flow in the legacy system.»

The company said it didn’t discover the non-compliance issue until «several weeks ago» when an unnamed customer reached out regarding the random values used in validation, prompting a deeper review.

It also noted that the incident impacts approximately 0.4% of the applicable domain validations, which, according to an update on the related Bugzilla report, affects 83,267 certificates and 6,807 customers.

Notified customers are recommended to replace their certificates as soon as possible by signing into their DigiCert accounts, generating a Certificate Signing Request (CSR), and reissuing them after passing DCV.

The development has prompted the U.S. Cybersecurity and Infrastructure Security Agency (CISA) to publish an alert, stating that «revocation of these certificates may cause temporary disruptions to websites, services, and applications relying on these certificates for secure communication.»

Preguntas frecuentes

¿Qué es y para qué sirve un Pentesting?

+

El Pentesting, o pruebas de penetración, es una evaluación de seguridad que simula ciberataques controlados contra sistemas y redes de una organización. Realizado por profesionales de seguridad, busca identificar y explotar vulnerabilidades para evaluar la efectividad de las defensas y proporcionar recomendaciones de mejora. Ayuda a prevenir ataques, mejorar la seguridad y cumplir con requisitos normativos. En resumen, es una herramienta vital para fortalecer la seguridad informática de una organización.

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos