La empresa está revocando masivamente los certificados de seguridad de la capa de transporte (TLS) debido a un problema de incumplimiento con la verificación del control del dominio (DCV).
Este procedimiento requiere que 6,807 clientes afectados reemitan 83,267 certificados en un plazo de 24 horas antes del 31 de julio a las 19:30 UTC, tras iniciar sesión en su cuenta de DigiCert CertCentral para identificar los certificados afectados.
Si el proceso no se completa antes de esa fecha, los sitios web, servicios o aplicaciones que utilicen certificados TLS revocados perderán conectividad.
Causa del Problema
DigiCert identificó una actualización del sistema en agosto de 2019 como la causa del problema, que llevó a que algunas validaciones se realizaran sin el prefijo de subrayado hasta que se descubrió el 29 de julio. El problema se solucionó semanas antes, el 11 de junio, como parte de un proyecto de mejora de la experiencia del usuario.
Retrasos para Infraestructuras Críticas
Aunque DigiCert afirma que los clientes pueden solicitar un retraso, esto solo se aplica a los operadores de infraestructuras críticas cuya incapacidad para reemplazar los certificados afectados a tiempo podría interrumpir servicios esenciales.
“Desafortunadamente, algunos clientes que operan infraestructuras críticas no están en posición de reemitir y desplegar todos sus certificados a tiempo sin interrupciones críticas en el servicio”, dijo la compañía en una actualización del aviso del incidente el miércoles.
“Para evitar la interrupción de servicios críticos, hemos estado en contacto con representantes de navegadores junto con estos clientes en las últimas horas. Basándonos en estas discusiones, ahora estamos en posición de retrasar las revocaciones bajo circunstancias excepcionales.”
Procedimiento para Solicitar Retrasos
Aquellos que aún no hayan reemplazado sus certificados deben enviar un correo electrónico a [email protected] con su ID de cuenta CertCentral, las circunstancias excepcionales que requieren un retraso en la revocación y la fecha de finalización prevista (no más tarde del sábado 3 de agosto a las 19:30 UTC).
DigiCert utilizará esta información para enviar una solicitud de retraso de la revocación a los representantes de los navegadores. Si DigiCert no recibe una solicitud de retraso antes del miércoles 31 de julio a las 19:30 UTC, asumirá que los certificados han sido reemplazados y procederá a revocarlos.
“Todos los números de serie de los certificados afectados seguirán listados en su portal de DigiCert y serán eliminados una vez revocados. Todos los certificados afectados por este incidente, independientemente de las circunstancias, serán revocados a más tardar el sábado 3 de agosto de 2024, a las 19:30 UTC”, añadió la empresa.
Advertencia de CISA
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) también advirtió que DigiCert está revocando varios certificados TLS e instó a los clientes a ponerse en contacto con la empresa “si no pueden reemitir/reclavar certificados antes de la fecha límite de revocación actualizada: 31 de julio de 2024 a las 15:30 EDT.”
Manténganse atentos a nuevas actualizaciones y aseguren la reemisión oportuna de sus certificados para evitar interrupciones en sus servicios críticos.