一部顧客で証明書発行手続に不備、再発行を実施 - DigiCert

DigiCertは現地時間7月29日、一部顧客において証明書の発行手続きに問題があったことを明らかにした。対象となる証明書の失効処理を行っている。

同社が証明書を発行する際、ドメインが申請者の制御下にあるか確認しているが、一部確認方法に不備があったもの。外部からの指摘により判明した。

申請者がドメインの正規所有者であるか確認する方法のひとつとして、DNSの「CNAMEレコード」に指定文字列を追加し、同社が確認する「ドメイン名の利用確認（DCV）」を行っているが、同手続きの一部に問題が明らかとなった。

実際に利用されているドメインとの衝突を避けるため、一部検証では「CNAMEレコード」へ追加するランダムな文字列について、最初の文字をアンダースコアとする必要があるが、同社システムに不備があり追加されていなかったという。ドメイン確認の約0.4%が影響を受けたとしている。

ランダム値は少なくとも150ビットとなっており、衝突する可能性は低いものの、セキュリティ上のリスクが存在するため、業界団体であるCA/Browser Forum（CAB Forum）では、問題のある証明書を24時間以内に取り消すことを定めている。

ベースライン要件で厳格に運用する必要があり、延長や遅延は許されず、遵守しない場合は証明機関としての信頼を失うことになると説明。対象となる顧客へ通知して事情を説明するとともに、あらたな証明書を再発行している。

（Security NEXT - 2024/08/01 ）ツイート