知名数字证书颁发机构 DigiCert 日前发布博客宣布吊销大约 0.4% 的域验证证书,考虑到该公司在数字证书市场的占有率,这 0.4% 估计也影响几万份甚至更多的数字证书。
此次吊销主要原因是 DigiCert 发现使用 CNAME 进行域验证时存在失误,正常情况下使用这种方式验证前缀必须增加下划线,没有包含下划线的子域名仍然被视为不合规。
在部分基于 CNAME 的验证中 DigiCert 注意到没有包含下划线前缀,根据 CA / 浏览器论坛 (CABF) 的规则,这些不合规且存在问题的数字证书必须在 24 小时内全部吊销。
目前 DigiCert 已经向所有受影响的客户发送电子邮件要求客户立即重新验证并更换证书,如果客户没有及时更换证书则网站、服务器或应用程序将无法正常连接。
请注意部分网站可能使用的不是由 DigiCert 直接签发的证书,但 DigiCert 作为 ROOT CA,这种情况下仍然受影响,具体请咨询申请证书时的中级 CA 检查是否需要更换。
对 DigiCert 来说这是一个比较严重的问题,这会影响 DigiCert 在 CA 领域的声誉,毕竟没有遵守 CABF 规则的都是不合规操作,所以 DigiCert 也决定即便是可能影响客户的使用也必须在 24 小时内吊销所有问题证书。
蓝点网以前使用的也是 DigiCert 签发的数字证书,不过现在为了节省开支都已经换成 Let’s Encrypt 提供的免费数字证书,好消息是也不用为这次问题担心了。