DigiCert, una delle principali autorità di certificazione (CA), ha annunciato che revocherà oltre 83.000 certificati SSL/TLS entro 24 ore a causa di un errore nel processo di convalida del dominio (DCV). Questa decisione è stata presa dopo che la società ha scoperto un problema nel modo in cui verificava se un certificato digitale era stato rilasciato al legittimo proprietario di un dominio. Prima di emettere un certificato, DigiCert deve validare il controllo o la proprietà del dominio da parte del cliente utilizzando uno dei vari metodi approvati dal CA/Browser Forum (CABF). Uno di questi metodi prevede la configurazione di un record DNS CNAME contenente un valore casuale fornito da DigiCert. Questo valore casuale viene poi utilizzato per eseguire una ricerca DNS per garantire che i valori siano identici.

Tuttavia, DigiCert ha scoperto che non aveva incluso il prefisso underscore con il valore casuale in alcuni casi di validazione basata su CNAME. Questo problema è nato da una serie di cambiamenti iniziati nel 2019 per rinnovare l'architettura sottostante, durante i quali il codice che aggiungeva automaticamente il prefisso underscore è stato rimosso. Nonostante i test di regressione fossero in atto, questi non hanno rilevato il cambiamento nella funzionalità poiché erano focalizzati sui flussi di lavoro e sulla funzionalità piuttosto che sul contenuto e sulla struttura del valore casuale.

DigiCert ha ulteriormente modificato il processo di generazione del valore casuale l'11 giugno 2024, eliminando l'aggiunta manuale del prefisso underscore. Tuttavia, non ha confrontato questa modifica dell'esperienza utente con il flusso underscore nel sistema legacy. La società ha scoperto il problema solo "alcune settimane fa" quando un cliente ha segnalato una discrepanza nei valori casuali utilizzati per la validazione, portando a una revisione più approfondita. L'incidente ha interessato circa lo 0.4% delle validazioni del dominio applicabili, coinvolgendo 83.267 certificati e 6.807 clienti.

I clienti notificati sono stati invitati a sostituire i loro certificati il prima possibile accedendo ai loro account DigiCert, generando una richiesta di firma del certificato (CSR) e riemettendoli dopo aver superato la convalida del controllo del dominio. L'Agenzia per la sicurezza informatica e delle infrastrutture (CISA) degli Stati Uniti ha pubblicato un avviso, affermando che la revoca di questi certificati potrebbe causare interruzioni temporanee ai siti web, ai servizi e alle applicazioni che si basano su questi certificati per la comunicazione sicura.

DigiCert ha dichiarato di continuare a collaborare attivamente con i clienti interessati da questo incidente e molti di loro sono riusciti a sostituire i propri certificati. Alcuni clienti hanno richiesto una revoca posticipata a causa di circostanze eccezionali e l'azienda sta lavorando con loro per risolvere le singole situazioni. Tuttavia, tutti i certificati interessati saranno revocati entro il 3 agosto 2024, 19:30 UTC.