证书颁发机构 （CA） DigiCert 警告说，它将在 24 小时内撤销 SSL/TLS 证书的子集，因为它在验证数字证书是否颁发给域的合法所有者方面存在疏忽。

该公司表示，将采取措施撤销没有适当域控制验证（DCV）的证书。

“在向客户颁发证书之前，DigiCert会使用CA /浏览器论坛（CABF）批准的几种方法之一来验证客户对他们请求证书的域名的控制权或所有权，”它说。

其中一种方法取决于客户设置一个DNS CNAME记录，其中包含DigiCert提供给他们的随机值，然后DigiCert对相关域执行DNS查找，以确保随机值相同。

每个 DigiCert 的随机值都带有下划线字符前缀，以防止与使用相同随机值的实际子域发生冲突。

这家总部位于犹他州的公司发现，它未能在一些基于 CNAME 的验证案例中使用的随机值中包含下划线前缀。

该问题的根源在于从 2019 年开始实施的一系列更改，以改进底层架构，作为其中的一部分，添加下划线前缀的代码被删除，随后“添加到更新系统中的某些路径”，但没有添加到一个既不自动添加也不检查随机值是否有预加下划线的路径。

DigiCert表示：“在部署更新系统之前进行的跨职能团队审查中，没有发现自动下划线前缀的遗漏。

“虽然我们进行了回归测试，但这些测试未能提醒我们功能的变化，因为回归测试的范围仅限于工作流和功能，而不是随机值的内容/结构。”

“不幸的是，没有进行任何审查来比较传统的随机值实现与新系统中每种场景的随机值实现。如果我们进行了这些评估，我们就会更早地了解到，系统不会在需要时自动将下划线前缀添加到随机值中。

随后，在 2024 年 6 月 11 日，DigiCert 表示，它改进了随机值生成过程，并取消了在用户体验增强项目的范围内手动添加下划线前缀的做法，但承认它再次未能“将此 UX 更改与遗留系统中的下划线流程进行比较”。

该公司表示，直到“几周前”，当一位不愿透露姓名的客户就验证中使用的随机值提出要求时，它才发现不合规问题，这促使了更深入的审查。

它还指出，该事件影响了大约 0.4% 的适用域验证，根据相关 Bugzilla 报告的更新，这影响了 83,267 个证书和 6,807 个客户。

建议已通知的客户尽快替换其证书，方法是登录其 DigiCert 帐户，生成证书签名请求 （CSR），并在通过 DCV 后重新颁发证书。

这一事态发展促使美国网络安全和基础设施安全局 （CISA） 发布了一份警报，指出“撤销这些证书可能会导致依赖这些证书进行安全通信的网站、服务和应用程序暂时中断。