Společnost DigiCert zjistila, že má chybu v procesu ověřování žádostí o certifikát na základě ověřování v DNS, neboli Domain Control Verification (DCV). Při něm musí žadatel vložit do DNS nový záznam typu CNAME, ve kterém uvede náhodnou výzvu vygenerovanou u autority. Po ověření zveřejnění správné výzvy je pak vystaven certifikát.
Existuje několik různých způsobů, jak přidat záznam DNS CNAME s náhodnou hodnotou určenou pro tento účel. Jeden z nich vyžaduje, aby před náhodnou hodnotou bylo předřazeno podtržítko. Předpona s podtržítkem zajišťuje, že náhodná hodnota nemůže kolidovat se skutečným názvem domény, který by náhodou už používal stejný řetězec. Autorita by záznam bez podtržítka ignorovala, protože by mohlo jít o náhodnou kolizi.
DigiCert však nedávno zjistil, že v některých případech ověřování na základě CNAME nezařazoval předponu podtržítka do generovaného řetězce. To mělo dopad na přibližně 0,4 % platných validací domén, které používáme. Podle přísných pravidel CABF musí být certifikáty s problémem v ověření domény bez výjimky do 24 hodin zrušeny,
vysvětluje DigiCert. Mělo by jít řádově o tisíce certifikátů.
Zákazníci, kterých se to týká, už byli informováni a musí si své certifikáty vyměnit. Přihlaste se prosím ke svému účtu DigiCert, abyste si mohli prohlédnout ovlivněné certifikáty a vystavit si nové,
dodává DigiCert.
