Hemos sido informados de un incidente reportado por otra Autoridad de Certificación que utiliza el mismo software de CA que HARICA (https://bugzilla.mozilla.org/show_bug.cgi?id=2029230). Según la información disponible, este problema podría afectar también a los servicios ACME antiguos.
Actualmente, HARICA está evaluando el alcance del impacto para determinar si procede considerarlo un incidente por su parte, lo que, en ese caso, podría implicar la revocación de los certificados afectados en un plazo de 24 horas. Por el momento, el problema parece limitarse al endpoint específico de ACME https://acme.harica.gr/TCS-DV/directory.
Como medida de precaución, nos solicitan que informemos a los usuarios de TCS para que dejen de utilizar el endpoint ACME mencionado y, en la medida de lo posible, migren al servicio https://harica.gr/en/harica-flexible-acme/ como ya indicamos hace unos días.
Aquellos que necesiten seguir utilizando el servicio antiguo (por ejemplo, para la emisión de certificados de direcciones IP) podrían tener que volver a emitir sus certificados.
En caso de confirmarse el incidente, HARICA aplicaría su procedimiento habitual de revocación, notificando individualmente a los solicitantes afectados mediante la dirección de correo electrónico facilitada durante la emisión de los certificados a través del servicio ACME antiguo.
GÉANT confirma el 7 de abril que HARICA ha comenzado a revocar certificados y que las organizaciones afectadas habrán recibido una comunicación directa de HARICA.
Si os surge la pregunta ¿podemos ampliar el plazo de revocación?, la respuesta es no, los requisitos básicos del CA/B Forum son muy estrictos en este aspecto. La sección 4.9.1.1 establece que los certificados emitidos cuya validación pueda ponerse en duda DEBEN ser revocados en un plazo de 24 horas.
A continuación se muestra el mensaje enviado por HARICA el día 6:
Dear TCS members,
We have been informed of an incident reported by another Certification Authority using the same CA software as ours (see: https://bugzilla.mozilla.org/show_bug.cgi?id=2029230). Based on the available information, this issue may also affect our legacy ACME services.
We are currently assessing the extent of the impact in order to determine whether this should be confirmed as an incident on our side, which would require the revocation of all affected certificates within 24 hours. At this stage, the issue appears to be limited only to the specific ACME endpoint: https://acme.harica.gr/TCS-DV/directory.
As a precaution, we kindly ask you to instruct all TCS Subscribers to move away from the legacy ACME endpoint mentioned above and move to the HARICA Flexible ACME service (https://harica.gr/en/harica-flexible-acme/). Those that need to use the legacy ACME (e.g. for issuing IP Address Certificates) may need to re-issue their certificates.
In any case, if we confirm this issue, we will execute our existing mass-revocation plan which will notify each affected subscriber separately using the email address provided during the certificate issuance process using the legacy ACME service.
Thank you for your cooperation.