DigiCert revoca certificados SSL/TLS por un fallo de validación de dominio

29/07/2024

DigiCert, empresa de seguridad digital emisora de certificados SSL/TLS que actúa como autoridad de certificación (CA), ha publicado un comunicado para informar de la revocación masiva de certificados que carecen de un adecuado Domain Control Verification (DCV).

La empresa detectó un bug generado durante una actualización del sistema realizada en agosto de 2019, cuando no se incluyó un carácter de guión bajo, a modo de prefijo, con el valor aleatorio utilizado en algunos casos de validación basados en CNAME.

Este bug ha afectado aproximadamente al 0,4% de las validaciones de dominio aplicables que DigiCert tiene en vigor, según la propia compañía, que ha establecido el día 3 de agosto como fecha límite para que los afectados reemplacen sus certificados.

Referencias

29/07/2024

digicert.com

DigiCert Revocation Incident (CNAME-Based Domain Validation)
30/07/2024

status.digicert.com

DigiCert Revocation Incident - Incident Report for DigiCert
30/07/2024

cisa.gov

DigiCert Certificate Revocations
30/07/2024

bleepingcomputer.com

DigiCert mass-revoking TLS certificates due to domain validation bug
31/07/2024

theregister.com

DigiCert gives unlucky folks 24 hours to replace doomed certificates after code blunder

Etiquetas