DigiCert, empresa de seguridad digital emisora de certificados SSL/TLS que actúa como autoridad de certificación (CA), ha publicado un comunicado para informar de la revocación masiva de certificados que carecen de un adecuado Domain Control Verification (DCV).
La empresa detectó un bug generado durante una actualización del sistema realizada en agosto de 2019, cuando no se incluyó un carácter de guión bajo, a modo de prefijo, con el valor aleatorio utilizado en algunos casos de validación basados en CNAME.
Este bug ha afectado aproximadamente al 0,4% de las validaciones de dominio aplicables que DigiCert tiene en vigor, según la propia compañía, que ha establecido el día 3 de agosto como fecha límite para que los afectados reemplacen sus certificados.
Referencias
- 29/07/2024: digicert.com: DigiCert Revocation Incident (CNAME-Based Domain Validation)
- 30/07/2024: status.digicert.com: DigiCert Revocation Incident - Incident Report for DigiCert
- 30/07/2024: cisa.gov : DigiCert Certificate Revocations
- 30/07/2024: bleepingcomputer.com: DigiCert mass-revoking TLS certificates due to domain validation bug
- 31/07/2024: theregister.com: DigiCert gives unlucky folks 24 hours to replace doomed certificates after code blunder