디지서트(DigiCert) 인증서 강제취소 안내
디지서트(DigiCert)는 적절한 도메인 제어 검증(DCV)이 이루어지지 않은 인증서를 취소할 예정입니다.
디지서트는 고객이 요청한 도메인에 대해 제어권을 증명하기 위해 여러 검증 방법을 사용합니다. 그 중 하나는 DNS CNAME 레코드에 디지서트가 제공한 랜덤 값을 추가하는 것입니다.
이 랜덤 값 앞에는 밑줄(_)이 접두사로 추가되어야 하지만 최근에 디지서트는 일부 검증 사례에서 밑줄 접두사가 누락된 것을 발견했습니다. 이에 따라 약 0.4%의 도메인 검증이 영향을 받았으며, CABF 규정에 따라 해당 인증서는 24시간 내에 취소되어야 합니다.
코리아SSL에서 발급되는 DigiCert / Thawte / GeoTrust / RapidSSL 인증서는 CNAME 레코드 방식이 아닌 TXT 레코드 인증방식을 이용하기 때문에 이번 사건에는 해당되지 않으며 강제취소 되지 않습니다.
자세한 내용은 아래 링크를 확인해주시길 바랍니다.
감사합니다.
https://www.digicert.com/support/certificate-revocation-incident
-------------------------------------------------
DigiCert Revocation Incident
(CNAME-Based Domain Validation)
DigiCert will be revoking certificates that did not have proper Domain Control Verification (DCV). Before issuing a certificate to a customer, DigiCert validates the customer’s control or ownership over the domain name for which they are requesting a certificate using one of several methods approved by the CA/Browser Forum (CABF). One of these methods relies on the customer adding a DNS CNAME record which includes a random value provided to them by DigiCert. DigiCert then does a DNS lookup for the domain and verifies the same random value, thereby proving domain control by the customer.
There are multiple valid ways to add a DNS CNAME record with the random value provided for this purpose. One of them requires the random value to be prefixed with an underscore character. The underscore prefix ensures that the random value cannot collide with an actual domain name that uses the same random value. While the odds of that happening are practically negligible, the validation is still deemed as non-compliant if it does not include the underscore prefix.
Recently, we learned that we did not include the underscore prefix with the random value used in some CNAME-based validation cases. This impacted approximately 0.4% of the applicable domain validations we have in effect. Under strict CABF rules, certificates with an issue in their domain validation must be revoked within 24 hours, without exception.