传GoDaddy错误签发近9000份SSL证书
发布日期:2017-01-16全球著名域名注册商和认证机构GoDaddy最近签发将近9000个未经过正确验证的SSL证书,在本周发现的域验证系统已经在过去的五个月里出现了严重的错误。
该bug是去年7月29日的常规代码更改到证书颁发前,验证域所有权系统的的一个错误。其结果是,该系统可能是经验证一些领域时,本来不应该通过,但是由于bug存在导致不应该通过的验证,反而通过了。
行业规则要求证书颁发机构检查是否为该域请求证书的人,并核对,对该域是否有控制权。这可以通过多种方式进行,包括要求申请人在使用该域名时同意对网站进行更改。
一些CAS要求证书申请人在指定的位置上创建一个公共访问的文件,并在其web服务器上使用唯一的代码或令牌。代码是一个独特的随机数字,放在Web服务器的根文件夹。
该错误导致系统忽略HTTP状态码,这是有问题的。因为许多Web服务器配置为返回原始请求的URL是404(未找到)错误。这个问题错误影响了6100左右的客户。如果有恶意攻击者了解这个问题,他们很可能获得欺诈的域名,他们可以利用这个bug获得授权证书。
文字来源:中关村在线