20210223 - Sectigo corrige une faille dans ses validations DCV E-mail
Début février Sectigo était informé qu'une faille dans son processus de validation permettait l'émission de certificats pour lesquels toutes les validations DCV n'avaient pas été obtenues.
Quelle faille ?
Sectigo, et Comodo avant eux, a choisi d'offrir l'option "avec et sans www." pour ses certificats mono-sites.
Exemple :
Le CN de votre CSR est : "www.domaine.fr" Le certificat livré contient également un SAN pour "domaine.fr"
Et inversement.
Avec l'arrivée du DCV puis des Baseline Requirements, cette facilité a pu être conservée à la condition qu'un challenge DCV soit validé pour chacun des SANs / domaines à sécuriser par le certificat.
Et c'est bien le cas pour les DCV HTTP/HTTPS et DNS. Cependant il existait une exception pour le DCV e-mail.
Des émissions sans DCV ?
Sectigo a récemment découvert une faille dans la validation des DCV e-mail pour les CN incluant un "www.".
Dans ce cas très précis, et si le client sélectionnait une adresse incluant les www. (@www.domaine.fr) pour sa validation DCV, alors l'autorité livrait le certificat avec un SAN sécurisant la racine (domaine.fr) alors même que seul le FQDN "www.domaine.fr" avait été validé.
Résolution
Sectigo a rapidement réagit et immédiatement modifié ses process et demande désormais également la validation de la racine.
Quelles conséquences pour les certificats existants ?
Les clients ont été notifiés et les certificats impactés ont été révoqués par l'autorité. Aucun des clients TBS n'était concerné.