Digicert, kritik altyapı operatörlerini Salı günü açıklanan devam eden bir sertifika kütle yeniden teftiş sürecinin gerektirdiği şekilde sertifikalarını yeniden yayınlayamazlarsa gecikme talep etmeye çağırıyor.
Şirket, etki alanı kontrol doğrulaması (DCV) ile ilgili uyumsuzluk sorunu nedeniyle toplu taşıma katmanı güvenliği (TLS) sertifikalarıdır.
Bu prosedür, 6.807'nin etkilenen sertifikaları tanımlamak için DigiCert sertifikası hesaplarına giriş yaptıktan sonra 31 Temmuz 19:30 UTC'ye kadar 24 saat içinde 83.267 sertifikayı yeniden yayınlamasını gerektirdi.
İşlem o zamandan önce tamamlanmazsa, iptal edilen TLS sertifikalarını kullanan web siteleri, hizmetler veya uygulamalar bağlantıyı kaybedecektir.
Digicert, Ağustos 2019'da bir sistem güncellemesini sorunun nedeni olarak belirledi, bu da 29 Temmuz'da keşfedilinceye kadar bazı doğrulamaların alt çizgisi olmadan gerçekleştirilmesine yol açtı. Sorun, 11 Haziran'da bir kullanıcının bir parçası olarak düzeltildi. -Deney geliştirme projesi.
Digicert, müşterilerin bir gecikme talep edebileceğini söylerken, bu yalnızca etkilenen sertifikaları zamanında değiştirememesi kritik hizmetleri bozabilecek kritik altyapı operatörleri için geçerlidir.
Şirket, "Ne yazık ki, kritik altyapı işleten bazı müşteriler, tüm sertifikalarının kritik hizmet kesintileri olmadan zamanında yeniden yayınlanacak ve konuşlandırılacak bir konumda değil." Dedi.
Diyerek şöyle devam etti: "Kritik hizmetlerin bozulmasını önlemek için, son birkaç saat içinde bu müşterilerle birlikte tarayıcı temsilcileriyle uğraştık. Bu tartışmalara dayanarak, şimdi istisnai koşullar altında iptalleri geciktirecek bir konumdayız."
Sertifikalarını henüz değiştirmemiş olanlar, Sert-Revocation-request@digicert.com'u sertifikal hesap kimliği, iptal gecikmesi gerektiren olağanüstü koşullar ve planlanan tamamlanma tarihi (3 Ağustos Cumartesi gününden geç olmasa da, e-posta göndermelidir. 19:30 UTC).
Digicert, bu bilgileri tarayıcı temsilcileriyle iptal etmek için bir talep göndermek için kullanacaktır. Digicert, 31 Temmuz 19:30 Çarşamba UTC'ye kadar bir gecikme talebi almazsa, sertifikaların değiştirildiğini ve bunları iptal edeceği varsayılacaktır.
"Etkilenen tüm sertifika seri numaraları Digicert portalınızda listelenmeye devam edecek ve iptal edildikten sonra kaldırılacaktır. Bu olaydan etkilenen tüm sertifikalar, 3 Ağustos 2024, 19:30 UTC Cumartesi gününden itibaren iptal edilecektir. "Şirket ekledi.
CISA ayrıca DigiCert'in bir dizi TLS sertifikasını iptal ettiği konusunda uyardı ve müşterileri "güncellenmiş iptal tarihine göre yeniden yayınlayamazlarsa/reyey sertifikalarını yeniden yayınlayamazlarsa: 15:30, EDT, 31 Temmuz 2024'te" çağırmaya çağırdı.
Digicert kütle revsing TLS Sertifikaları Etki alanı doğrulama hatası nedeniyle
ABD Yaptırımları Su tesislerini ihlal eden Rus hacktivistleri
Kaynak: Bleeping Computer