DigiCertで証明書失効インシデントが発生 顧客に証明書交換を呼びかけ：セキュリティニュースアラート

DigiCertは証明書の失効インシデントが発生したことを公表した。この問題は適切なドメイン名検証プロセスが実行されていないために生じた。同社は影響を受ける顧客に証明書の交換を呼びかけている。

[後藤大地，有限会社オングス]

　DigiCertは2024年7月29日（現地時間）、一部の証明書に関する失効インシデントが発生したと公表した。

　この失効インシデントは適切なドメイン名の利用権確認（DCV）プロセスが正常に実行されていない証明書に関する問題とされ、CA/Browser Forum（CABF）の厳格なルールに従い、ドメイン検証に問題がある証明書は24時間以内に取り消されてしまうというものだ。DigiCertは影響を受ける顧客に対して非準拠の証明書を置き換えるよう呼びかけている。

DigiCertによる証明書の失効と再発行手順の詳細

　最近、一部のCNAMEレコードベースの検証に使用されたランダム値にアンダースコアプレフィックスが含まれていないことが明らかになった。この発覚によって現在適用されているドメイン検証の約0.4％の証明書が影響を受けることが判明している。インシデント自体の影響範囲は軽微だが、DCVに準拠していないため対象の証明書は24時間以内に失効されてしまう。

　DigiCertは影響を受ける顧客に対してすでに通知しており、顧客は24時間以内に証明書を交換する必要がある。DigiCertはCertCentralアカウントにログインして、証明書の再発行またはキーの更新を実施する手順を提供している。

　具体的な手順は以下の通りだ。

• CertCentralアカウントにログインし、影響を受ける証明書を確認する
• 新しい証明書署名要求（CSR）を生成する
• 各証明書の注文番号の詳細ページで証明書の再発行を選択する
• 追加の必要な検証手順を完了する
• 再発行されたSSL/TLS証明書をインストールする

　DigiCertはこの問題の根本原因として、2019年から開始した検証システムの最新化への移行が影響していると考える。この移行中にアンダースコアプレフィックスの自動追加が更新されたシステムの一部のパスで実施されなかったため、一部の検証がCABF基準に準拠していないことが確認されている。

　DigiCertは今回のインシデントの発生を受け、再発を防止するための措置を講じている。具体的にはDCV全体の乱数生成器の統合とレビューを完了し、顧客が特定のランダム値形式について知る必要がないようにUXを簡素化している。またコンプライアンスチームのメンバーを全ての認証局（CA）および登録局（RA）スプリントチームに組み込み、検証ワークフローのテスト範囲を拡大させている。