SSL数位凭证机构(Certificate Authority,CA)DigiCert昨(4)日宣布已注销未做好适当验证的8万多个凭证,并要求用户在本周末前更换新凭证。
撤销凭证的原因是DigiCert未能做好网域控制验证(Domain Control Validation,DCV)。DCV是指DigiCert将凭证发放给客户前,会先验证他们呼叫凭证的网域名是否具有控管或持有权利。其中一种方法是客户在其网域名的DNS别名(CNAME)纪录加入一组由DigiCert提供的随机值,DigiCert之后会进行DNS查询验证是否找到相同的随机值,符合者才会获得提供网域控制权,即获颁凭证。
而DigiCert提供在DNS CNAME增加随机值的方法之一,是利用前缀(prefix)格式,以底线符号加入随机值。这种格式的前缀是为了确保随机值不会和使用相同随机值的实际网域名搞混。虽然DNS CNAME纪录未前缀加入随机值的机率不高,但仍然存在;最近DigiCert发现在CNAME-based的网域验证案例中,有将近0.4%已通过者其CNAME并未加入底线前缀的随机值。按照CA/Browser Forum(CABF)的规定,这些网域凭证必须在24小时内注销,无一例外。
被注销的凭证主要影响TLS凭证,少部份S/MIME凭证也受影响。若用户S/MIME凭证遭到注销,其电子邮件还是能使用,但无法使用电子邮件加密,因此,在用户未能更换S/MIME凭证前,收件者只能仰赖邮件用户端的信任警告来确保信件的安全性。
根据DigiCert的bugzilla报告,这次事件影响6,807名订阅用户的83,267张数位凭证。
DigiCert要求用户必须在世界协调时间(UTC)8月9日20:30(台湾时间8月10日凌晨4:30)前换用新凭证。TLS/SSL凭证用户可登入DigiCert CertCentral帐号检视被注销的凭证,以及产生新的凭证。S/MIME凭证用户也可在CertCentral帐号下依据指示读取已注销凭证及产生新凭证。