DigiCert 因大规模证书撤销事件首席合规官辞职
事件概述
DigiCert 的首席合规官 Jeremy Rowley 因一次大规模证书撤销事件而辞职。事件起因是 DigiCert 在基于 DNS 的域名验证方法中存在缺陷,导致错误签发了大量证书,随后不得不进行大规模撤销。
技术细节与根本原因
DigiCert 支持多种 DNS 验证方法,其中包括 CNAME 验证。根据行业标准(CA/Browser 论坛基线要求),用于 CNAME 验证的随机值前必须添加下划线前缀(例如 _rnd),以防止与用户实际创建的域名发生碰撞,这是一个重要的安全假设。
在 2019 年,DigiCert 开始将其验证系统从单体架构迁移到面向服务的架构。在这个过程中,负责自动添加下划线前缀的代码没有被正确地移植到新的系统中的一条路径上。这意味着在 OEM(低量签发)系统的特定验证路径下,CNAME 验证可能在没有下划线前缀的情况下完成并签发证书,从而违反了基线要求。
2024 年 6 月,工程团队进行了一项用户体验改进项目,将多个随机值生成微服务合并为一个统一的服务。这个新服务会自动为所有验证方法的随机值添加下划线前缀,从而无意中修复了上述漏洞。但当时团队并未意识到这是一个合规性问题,而只将其视为一个用户体验的改进。
事件时间线与处理
- 2024年7月3日:一名研究人员通过电子邮件向 DigiCert 的问题报告地址发送询问,质疑不带下划线的随机值的合规性,但未提供任何证书序列号。
- 2024年7月27日:在与研究人员多轮沟通和内部调查后,DigiCert 对 DNS 验证方法的代码路径进行了彻底审查,最终发现了 CNAME 验证中缺少下划线前缀的漏洞。
- 2024年7月29日:DigiCert 提交初步事件报告,并开始识别受影响的证书。
- 2024年7月29日:确定受影响的证书数量为 83,267 个,涉及 6,807 个订户。根据规则,这些证书应在 24 小时内被撤销。
- 撤销过程受阻:DigiCert 声称,由于许多客户运营关键基础设施(如电信网络、云服务、医疗行业),无法在短时间内更换证书。部分客户甚至对 DigiCert 提起法律诉讼以阻止撤销。一家名为 Alegeus Technologies 的公司获得了临时限制令(TRO)。
- 最终撤销完成:尽管面临挑战,DigiCert 于 2024 年 8 月 3 日完成了所有 83,267 个证书的撤销。此外,还发现并撤销了 1,308 个受此影响的 S/MIME 证书。
根本原因分析与责任人辞职
在事后分析中,DigiCert 确定根本原因在于工程与合规团队之间的“孤岛效应”,缺乏有效的协作和审查机制。合规团队未能参与早期的架构设计会议,而工程团队的系统变更也未提交合规审查。
Jeremy Rowley 作为首席合规官,认为自己未能:
- 充分重视并调查研究人员的早期报告。
- 消除工程与合规团队之间的隔阂。
- 确保内部审查能及时发现此类关键缺陷。
因此,他决定辞去职务。DigiCert CEO 任命 Tim Hollebeek 领导一个工作组,负责实施更严格的技术合规控制。
行业反应与讨论
- 对辞职的看法:许多社区成员对 Jeremy Rowley 的辞职表示遗憾,认为这是系统性失败而非个人错误,并称赞他对行业的长期贡献。他们认为,事件报告中强调“无指责事后分析”文化,将责任归于个人并促使其辞职,对行业传递了不良信号。
- 对安全影响的争论:一些技术人员指出,DigiCert 最初淡化了该漏洞的安全影响,将其描述为“概率极低”。他们强调,该漏洞存在真实的安全风险,可能被利用针对允许用户创建 CNAME 记录的服务(如某些动态 DNS 提供商)来获取未授权的证书。后续调查(包括 DigiCert 的 DNS 专家)未发现证据表明漏洞已被实际利用。
- 对撤销延迟的质疑:社区对 DigiCert 未能遵守 24 小时撤销时限表示关切。DigiCert 将五天的撤销过程视为一项成就,但批评者认为这是对规则的不遵守。
补救措施
DigiCert 采取了以下措施以防止类似事件再次发生:
- 将随机值生成器合并到单一服务,并确保所有随机值都以 k下划线开头。
- 将合规性审查纳入架构评审会议,并取消产品团队自行决定是否需要正式合规审查的权限。
- 加强随机值格式的测试,确保其符合基线要求。
- 计划淘汰不常用的验证方法,引导客户使用自动化程度更高的方法(如 DNS、HTTP)。
- 计划将其开源域控制验证(DCV)系统,供社区审查。
结论
此次事件凸显了在复杂的 PKI 生态系统中,即使是大型权威机构也可能因系统架构变更中的疏忽而引发严重的合规和安全问题。它强调了工程与合规团队紧密协作、以及对安全标准给予最高级别重视的重要性。DigiCert 通过大规模撤销、人事调整和流程改进来应对危机,但该事件及其处理过程仍在行业内引发了关于责任、透明度和规则执行力度的持续讨论。