DigiCert exhorte les opérateurs d’infrastructures critiques à demander un délai s’ils ne peuvent pas réémettre leurs certificats, comme l’exige un processus de révocation massive de certificats en cours annoncé mardi.
L’entreprise révoque en masse les certificats TLS (transport layer Security) en raison d’un problème de non-conformité avec la vérification du contrôle de domaine (DCV).
Cette procédure a obligé 6 807 clients concernés à réémettre 83 267 certificats dans les 24 heures au plus tard le 31 juillet à 19h30 UTC, après s’être connectés à leur compte DigiCert CertCentral pour identifier les certificats concernés.
Si le processus n’est pas terminé avant cette date, les sites Web, services ou applications utilisant des certificats TLS révoqués perdront la connectivité.
DigiCert a identifié une mise à jour du système en août 2019 comme la cause du problème, ce qui a conduit à certaines validations effectuées sans le préfixe de trait de soulignement jusqu’à sa découverte le 29 juillet. Le problème a été résolu quelques semaines plus tôt, le 11 juin, dans le cadre d’un projet d’amélioration de l’expérience utilisateur.
Retards dans les infrastructures essentielles
Bien que DigiCert indique que les clients peuvent demander un délai, cela ne s’applique qu’aux opérateurs d’infrastructures critiques dont l’incapacité à remplacer les certificats impactés à temps pourrait perturber les services critiques.
« Malheureusement, certains clients exploitant des infrastructures critiques ne sont pas en mesure de réémettre et de déployer tous leurs certificats à temps sans interruptions de service critiques », a déclaré la société dans une mise à jour de l’avis d’incident mercredi.
« Pour éviter toute perturbation des services critiques, nous avons contacté les représentants des navigateurs aux côtés de ces clients au cours des dernières heures. Sur la base de ces discussions, nous sommes maintenant en mesure de retarder les révocations dans des circonstances exceptionnelles. »
Ceux qui n’ont pas encore remplacé leurs certificats doivent envoyer un e-mail [email protected] avec leur identifiant de compte CertCentral, les circonstances exceptionnelles nécessitant un délai de révocation et la date d’achèvement prévue (au plus tard le samedi 3 août à 19h30 UTC).
DigiCert utilisera ces informations pour soumettre une demande de report de la révocation aux représentants du navigateur. Si DigiCert ne reçoit pas de demande de délai d’ici le mercredi 31 juillet à 19h30 UTC, il supposera que les certificats ont été remplacés et les révoquera.
« Tous les numéros de série de certificats concernés continueront d’être répertoriés dans votre portail DigiCert et seront supprimés une fois révoqués. Tous les certificats affectés par cet incident, quelles que soient les circonstances, seront révoqués au plus tard le samedi 3 août 2024, 19h30 UTC », a ajouté la société.
CISA a également averti que DigiCert révoque un certain nombre de certificats TLS et a exhorté les clients à contacter l’entreprise « s’ils ne peuvent pas réémettre/reconfigurer les certificats avant la date limite de révocation mise à jour: 15 h 30, HAE, le 31 juillet 2024. »