DigiCert Trustico

DigiCert revoga 23 mil certificados SSL vendidos pela Trustico

A empresa de autoridade certificadora (CA) DigiCert anunciou nesta quarta-feira dia 28/2/2018, a revogação em massa de 23 mil certificados SSL, logo após a empresa revendedora de certificado Trustico ter supostamente enviado essas 23 mil chaves privadas através de um e-mail.

As chaves privadas (private key) devem ser secretas e apenas na posse de proprietários de certificados. Jamais elas podem estar sob a posse da autoridade de certificação, do revendedor ou de qualquer outro terceiro. Com as chaves privadas expostas, a DigiCert foi forçada a revogar os certificados impactados em 24 horas. Assim sendo, um grande número de empresas foram afetadas.

Dessa forma peço atenção aos leitores que possuem certificados comprados através da Trustico. Isso pode causar paradas de serviços no qual muitas vezes não nos damos conta. O primeiro ponto é gerar um novo certificado, é provável que um e-mail foi enviado a pessoa responsável pela emissão do primeiro certificado, basta seguir o procedimento de reemissão. No que tange a Exchange Server, caso tenha sido afetado por essa revogação.

Leve em consideração as seguintes observações:

  • Se o ambiente possui apenas Exchange On-Premises. Altere o certificado em todos os servidores Exchange Servers que possuam o certificado revogado e não se esqueça de atribuir os serviços necessários (IIS, SMTP, POP3, IMAP …).
  • Se o ambiente possui Load Balance com SSL Offload. Caso possua um balanceador de carga no ambiente, verifique se o mesmo realiza SSL Offload; caso positivo, altere o certificado revogado pelo novo emitido.
  • Se o ambiente é Hibrido e possua ADFS. Altere o certificado dos servidores ADFS e realize o restart dos serviços. Caso também possua WAP (Web Application Proxy), realize o mesmo. No caso de uso de Load Balance também para o ADFS e WAP, verifique se a regra possua também SSL Offload.
  • Caso exista instalado o Office Online Server (OOS) no ambiente. Certifique-se de atribuir também o novo certificado ao farm.
  • Lembrem-vos que caso hajam o uso de SSL nos serviços de IMAP e POP3, e o certificado é um WildCard, o Exchange não atribui os serviços através do EAC, somente através do powershell. Portanto execute os seguintes comandos através do powershell:
Set-ImapSettings -X509CertificateName mail.dominio.com
Set-PopSettings -X509CertificateName mail.dominio.com

Certamente foram mencionados detalhes referentes a Exchange Server e tecnologias vinculadas ao seu uso. Porém é necessário analisar o ambiente como um todo. Substituam o novo certificado em todos os servidores e aplicações no qual utilizavam o revogado.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *