DigiCert: Ανακαλεί πιστοποιητικά SSL λόγω ελλιπούς επιτήρησης στην επικύρωση του domain
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
DigiCert: Ανακαλεί πιστοποιητικά SSL λόγω ελλιπούς επιτήρησης στην επικύρωση του domain
https://www.secnews.gr/612023/digicert-anakalei-pistopoihtika-ssl-logw-ellipous-epithrhshs-sthn-epikyrwsh-domain/
Aug 1st 2024, 10:49
Η αρχή έκδοσης πιστοποιητικών DigiCert ανακαλεί πιστοποιητικά SSL/TLS εντός 24 ωρών λόγω παράβλεψης, του αν εκδόθηκε ψηφιακό πιστοποιητικό στο νόμιμο κάτοχο ενός domain.
Η εταιρεία διαπίστωσε ότι δεν είχε προσθέσει το underscore prefix σε ορισμένα random values κατά την επικύρωση που χρησιμοποιούν τη μέθοδο DNS CNAME. Το πρόβλημα προήλθε από αλλαγές στα συστήματα το 2019, οι οποίες δεν εντοπίστηκαν σε επιθεωρήσεις που γίνονταν.
Διαβάστε ακόμη: Emsisoft: Χάκερ πλαστογραφούν τα πιστοποιητικά μας για να παραβιάσουν δίκτυα
Η DigiCert ανέφερε ότι τα regression tests δεν αποκάλυψαν καμία μη συμμόρφωση, καθώς εστιάζονταν στη λειτουργικότητα και όχι στη δομή των random values. Στις 11 Ιουνίου 2024, η εταιρεία αναβάθμισε τη διαδικασία δημιουργίας random value, χωρίς όμως να συγκρίνει τη νέα αλλαγή με το προηγούμενο σύστημα.
Το συμβάν επηρεάζει περίπου 83.267 πιστοποιητικά και 6.807 πελάτες, με συστάσεις προς τους πελάτες να προχωρήσουν άμεσα στην αντικατάσταση των πιστοποιητικών τους. Η CISA προειδοποίησε ότι η ανάκληση ενδέχεται να προκαλέσει προσωρινές διακοπές σε ιστότοπους και υπηρεσίες.
Update
«Η DigiCert συνεχίζει να συνεργάζεται ενεργά με πελάτες που έχουν επηρεαστεί από αυτό το περιστατικό, και πολλοί από αυτούς έχουν καταφέρει να αποκαταστήσουν τα πιστοποιητικά τους», δήλωσε η εταιρεία. «Ορισμένοι πελάτες έχουν υποβάλει αίτηση για καθυστερημένη ανάκληση λόγω εξαιρετικών περιστάσεων, και εμείς εργαζόμαστε μαζί τους για να αντιμετωπίσουμε τις ατομικές τους καταστάσεις. Ωστόσο, δεν δεχόμαστε πλέον αιτήσεις για καθυστερημένη ανάκληση.»
Δείτε περισσότερα: Χάκερ παραβιάζουν το 3CX desktop app σε επίθεση supply chain
Οι πελάτες αυτοί, αφορούν εκείνους που διαχειρίζονται υποδομές ζωτικής σημασίας, οι οποίοι, όπως τόνισε η εταιρεία, «δεν μπορούν να επανεκδώσουν και να αναπτύξουν όλα τα πιστοποιητικά τους εγκαίρως χωρίς να υπάρξουν κρίσιμες διακοπές στις υπηρεσίες τους». Επιπλέον, σημείωσε ότι όλα τα επηρεαζόμενα πιστοποιητικά, ανεξαρτήτως των περιστάσεων, θα ανακληθούν το αργότερο μέχρι τις 3 Αυγούστου 2024.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
DigiCert: Ανακαλεί πιστοποιητικά SSL λόγω ελλιπούς επιτήρησης στην επικύρωση του domain
https://www.secnews.gr/612023/digicert-anakalei-pistopoihtika-ssl-logw-ellipous-epithrhshs-sthn-epikyrwsh-domain/
Aug 1st 2024, 10:49
Η αρχή έκδοσης πιστοποιητικών DigiCert ανακαλεί πιστοποιητικά SSL/TLS εντός 24 ωρών λόγω παράβλεψης, του αν εκδόθηκε ψηφιακό πιστοποιητικό στο νόμιμο κάτοχο ενός domain.
Η εταιρεία διαπίστωσε ότι δεν είχε προσθέσει το underscore prefix σε ορισμένα random values κατά την επικύρωση που χρησιμοποιούν τη μέθοδο DNS CNAME. Το πρόβλημα προήλθε από αλλαγές στα συστήματα το 2019, οι οποίες δεν εντοπίστηκαν σε επιθεωρήσεις που γίνονταν.
Διαβάστε ακόμη: Emsisoft: Χάκερ πλαστογραφούν τα πιστοποιητικά μας για να παραβιάσουν δίκτυα
Η DigiCert ανέφερε ότι τα regression tests δεν αποκάλυψαν καμία μη συμμόρφωση, καθώς εστιάζονταν στη λειτουργικότητα και όχι στη δομή των random values. Στις 11 Ιουνίου 2024, η εταιρεία αναβάθμισε τη διαδικασία δημιουργίας random value, χωρίς όμως να συγκρίνει τη νέα αλλαγή με το προηγούμενο σύστημα.
Το συμβάν επηρεάζει περίπου 83.267 πιστοποιητικά και 6.807 πελάτες, με συστάσεις προς τους πελάτες να προχωρήσουν άμεσα στην αντικατάσταση των πιστοποιητικών τους. Η CISA προειδοποίησε ότι η ανάκληση ενδέχεται να προκαλέσει προσωρινές διακοπές σε ιστότοπους και υπηρεσίες.
Update
«Η DigiCert συνεχίζει να συνεργάζεται ενεργά με πελάτες που έχουν επηρεαστεί από αυτό το περιστατικό, και πολλοί από αυτούς έχουν καταφέρει να αποκαταστήσουν τα πιστοποιητικά τους», δήλωσε η εταιρεία. «Ορισμένοι πελάτες έχουν υποβάλει αίτηση για καθυστερημένη ανάκληση λόγω εξαιρετικών περιστάσεων, και εμείς εργαζόμαστε μαζί τους για να αντιμετωπίσουμε τις ατομικές τους καταστάσεις. Ωστόσο, δεν δεχόμαστε πλέον αιτήσεις για καθυστερημένη ανάκληση.»
Δείτε περισσότερα: Χάκερ παραβιάζουν το 3CX desktop app σε επίθεση supply chain
Οι πελάτες αυτοί, αφορούν εκείνους που διαχειρίζονται υποδομές ζωτικής σημασίας, οι οποίοι, όπως τόνισε η εταιρεία, «δεν μπορούν να επανεκδώσουν και να αναπτύξουν όλα τα πιστοποιητικά τους εγκαίρως χωρίς να υπάρξουν κρίσιμες διακοπές στις υπηρεσίες τους». Επιπλέον, σημείωσε ότι όλα τα επηρεαζόμενα πιστοποιητικά, ανεξαρτήτως των περιστάσεων, θα ανακληθούν το αργότερο μέχρι τις 3 Αυγούστου 2024.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια