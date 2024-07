Autor: Root.cz s využitím DALL-E

Společnost DigiCert zjistila, že má chybu v procesu ověřování žádostí o certifikát na základě ověřování v DNS, neboli Domain Control Verification (DCV). Při něm musí žadatel vložit do DNS nový záznam typu CNAME, ve kterém uvede náhodnou výzvu vygenerovanou u autority. Po ověření zveřejnění správné výzvy je pak vystaven certifikát.





Existuje několik různých způsobů, jak přidat záznam DNS CNAME s náhodnou hodnotou určenou pro tento účel. Jeden z nich vyžaduje, aby před náhodnou hodnotou bylo předřazeno podtržítko. Předpona s podtržítkem zajišťuje, že náhodná hodnota nemůže kolidovat se skutečným názvem domény, který by náhodou už používal stejný řetězec. Autorita by záznam bez podtržítka ignorovala, protože by mohlo jít o náhodnou kolizi.

DigiCert však nedávno zjistil, že v některých případech ověřování na základě CNAME nezařazoval předponu podtržítka do generovaného řetězce. To mělo dopad na přibližně 0,4 % platných validací domén, které používáme. Podle přísných pravidel CABF musí být certifikáty s problémem v ověření domény bez výjimky do 24 hodin zrušeny, vysvětluje DigiCert. Mělo by jít řádově o tisíce certifikátů.