SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
Menu
picture of tbs certificates
picture of tbs certificates
Les produits
Notre gamme
Partenaires
Support
Numéro vert
Focus


20210223 - Sectigo corrige une faille dans ses validations DCV E-mail

Début février Sectigo était informé qu'une faille dans son processus de validation permettait l'émission de certificats pour lesquels toutes les validations DCV n'avaient pas été obtenues.

Quelle faille ?

Sectigo, et Comodo avant eux, a choisi d'offrir l'option "avec et sans www." pour ses certificats mono-sites.

Exemple :

Le CN de votre CSR est : "www.domaine.fr"
Le certificat livré contient également un SAN pour "domaine.fr"

Et inversement.

Avec l'arrivée du DCV puis des Baseline Requirements, cette facilité a pu être conservée à la condition qu'un challenge DCV soit validé pour chacun des SANs / domaines à sécuriser par le certificat.

Et c'est bien le cas pour les DCV HTTP/HTTPS et DNS. Cependant il existait une exception pour le DCV e-mail.

Des émissions sans DCV ?

Sectigo a récemment découvert une faille dans la validation des DCV e-mail pour les CN incluant un "www.".

Dans ce cas très précis, et si le client sélectionnait une adresse incluant les www. (@www.domaine.fr) pour sa validation DCV, alors l'autorité livrait le certificat avec un SAN sécurisant la racine (domaine.fr) alors même que seul le FQDN "www.domaine.fr" avait été validé.

Résolution

Sectigo a rapidement réagit et immédiatement modifié ses process et demande désormais également la validation de la racine.

Quelles conséquences pour les certificats existants ?

Les clients ont été notifiés et les certificats impactés ont été révoqués par l'autorité. Aucun des clients TBS n'était concerné.

Liens utiles