DigiCert 吊销数万份使用 CNAME 进行域名验证的 TLS/SSL证书
数字证书颁发机构 DigiCert 在 7 月 29 日通过博客宣布将吊销没有适当域控制验证 (DCV) 的证书,大约 0.4% 的 DigiCert 适用域验证受到影响,数量可能超过数千份。根据严格的 CABF 规则,域验证中存在问题的证书必须在 24 小时内撤销,无一例外。DigiCert 已通知受影响的客户,他们必须在 24 小时内更换证书。
本次事件涉及通过添加 DNS CNAME 记录,并为此提供随机值进行域名控制验证。其中一种方法要求随机值以下划线字符为前缀,下划线前缀可确保随机值不会与使用相同随机值的实际域名发生冲突。最近,DigiCert 发现在某些基于 CNAME 的验证案例中使用的随机值中没有包含下划线前缀。虽然域名发生冲突的可能性实际上可以忽略不计,但如果验证不包含下划线前缀,则仍被视为不合规。DigiCert 表示,“CABF 认为任何与域验证有关的问题都是严重问题,需要立即采取行动。”
—— DigiCert