DigiCert mengeluarkan pemberitahuan mendesak, memperingatkan administrator situs web bahwa mereka memiliki waktu hingga 11 Juli 2020 untuk mengganti sertifikat EV (extended validation) mereka dengan yang baru dan valid.
Meskipun tidak ada ancaman keamanan yang telah diidentifikasi saat ini, sertifikat ini dicabut karena proses audit yang buruk yang dipakai oleh beberapa perantara CA DigiCert. Termasuk sertifikat yang ditandatangani oleh GeoTrust, Thawte, CertCentral, dan Symantec.
Untuk alasan skala, CA biasanya tidak menandatangani sertifikat situs web secara langsung, tetapi menandatanganinya menggunakan sertifikat perantara (intermediate certificate) yang ditandatangani oleh sertifikat root (root certificate) yang memang dimiliki langsung oleh CA itu sendiri.
Sertifikat situs web umumnya dikenal sebagai leaf certificates, karena sertifikat itu ada di akhir rantai signature, urutan rantai kepercayaannya seperti ini:
- Leaf certificate dijamin oleh intermediate certificate yang dimiliki CA atau mitra bisnis resmi.
- Intermediate certificate dijamin oleh root certificate, yang dimiliki langsung oleh CA.
- Root certificate ditandatangani sendiri, tetapi browser Anda memercayainya karena itu merupakan bagian dari daftar kecil, root certificate yang disetujui yang dibangun di browser Anda atau dipegang oleh sistem operasi Anda.
Digicert menjelaskan masalahnya sebagai berikut:
DigiCert telah mengidentifikasi masalah di mana beberapa intermediate CA (ICA) kami tidak terdaftar sebagai bagian dari audit EV WebTrust terbaru kami.
Penjelasan: sebagai bagian dari proses audit komunitas reguler, CA seharusnya menyerahkan daftar anak perusahaan dan mitra bisnis yang berwenang untuk menandatangani extended validation certificates (EV) sebagai perantara atas nama CA.
Dengan kata lain, jika ada perusahaan X yang memiliki sertifikat EV yang dijamin oleh perusahaan perantara Y yang selanjutnya dijamin oleh sertifikat CA root tepercaya dari perusahaan Z, maka Z harus memastikan perusahaan Y terdaftar kapan pun ia mengajukan dokumen audit validasi yang diperpanjang – demi kepentingan transparansi yang dapat dipahami.
Karena masalah proses audit ini, DigiCert harus mencabut 50.000 sertifikat EV.
ICA yang terkena dampak:
- DigiCert Global CA G2
- GeoTrust TLS RSA CA G1
- Thawte TLS RSA CA G1
- Secure Site CA
- NCC Group Secure Server CA G2
- TERENA SSL High Assurance CA 3
Keenam nama CA di atas tidak akan digunakan untuk menandatangani sertifikat lagi, jadi jika Anda memiliki sertifikat EV yang dicabut yang perlu diterbitkan kembali, itu akan berasal dari salah satu perantara baru ini sebagai gantinya:
- DigiCert EV RSA CA G2
- GeoTrust EV RSA CA G2
- Thawte EV RSA CA G2
Cara memperbarui dan mengganti sertifikat yang dicabut dijelaskan dalam link ini.
