主要观点：DigiCert 因部分 CNAME 验证未含下划线前缀而撤销证书，约影响 0.4%的有效域验证，主要影响 TLS 证书，部分 S/MIME 证书也受影响，受影响客户需于 2024 年 8 月 9 日 20:30 UTC 前更换证书，提供了在 CertCentral 中重新颁发 TLS/SSL 和 S/MIME 证书的步骤，介绍了技术细节和根本原因，采取了一系列预防措施。
关键信息：

• 验证方式：DigiCert 通过多种方法验证客户对域名的控制，其中 CNAME 验证需添加含随机值的记录，部分验证需含下划线前缀。
• 问题发现：2024 年 6 月发现部分 CNAME 验证未含下划线前缀，约 0.4%的域验证受影响。
• 客户行动：受影响客户需更换证书，提供了在 CertCentral 中重新颁发证书的步骤。
• 技术细节：CABF 基线要求及不同 CNAME 记录添加方式，未含下划线的风险及 CABF 规定的处理方式。
• 根本原因：系统架构更新导致下划线前缀添加代码未在所有路径生效，后续用户体验增强项目意外解决了该问题。
• 预防措施：整合和审查所有 DCV 随机值生成器、简化用户体验、嵌入合规团队、增加测试覆盖、开源 DCV 供社区审查。
  重要细节：
• 通知时间：2024 年 7 月 29 日发布原始报告，8 月 4 日更新。
• 证书影响：TLS 证书受影响较大，S/MIME 证书受影响较小但邮件加密可能受影响。
• 系统更新：2019 年开始系统架构更新，6 月完成用户体验增强项目。
• 调查过程：6 月 11 日工程完成项目，数周前收到关于随机值的咨询，进一步审查后发现问题。