GoDaddy撤近9000份未经正确验证的SSL证书

简介:

GoDaddy是世界上最大的域名注册商和认证机构,最近撤销了将近9000个SSL证书,在本周发现的域验证系统已经在过去的五个月里出现了严重的错误。

该bug是去年7月29日的常规代码更改到证书颁发前,验证域所有权系统的的一个错误.。其结果是,该系统可能是经验证一些领域时,本来不应该通过,但是由于bug存在导致不应该通过的验证,反而通过了。

GoDaddy撤销近9,000份未经验证的SSL证书

行业规则要求证书颁发机构检查是否为该域请求证书的人,并核对,对该域是否有控制权.。这可以通过多种方式进行,包括要求申请人在使用该域名时同意对网站进行更改。

一些CAS要求证书申请人在指定的位置上创建一个公共访问的文件,并在其web服务器上使用唯一的代码或令牌。代码是一个独特的随机数字,放在Web服务器的根文件夹。

该错误导致系统忽略HTTP状态码,这是有问题的因为许多Web服务器配置为返回原始请求的URL是404(未找到)错误。这个问题错误影响了6100左右的客户。如果有恶意攻击者了解这个问题,他们很可能获得欺诈的域名,他们可以利用这个bug获得授权证书。

本文转自d1net(转载)

相关文章
|
11天前
|
网络安全
嗯… 无法访问此页面43.139.210.211 花了太长时间进行响应,无法连接宝塔,是服务器内的宝塔面板开启了ssl的验证,但是没有绑定证书,所以被拦截,关闭宝塔面板的ssl访问认证恢复正常
嗯… 无法访问此页面43.139.210.211 花了太长时间进行响应,无法连接宝塔,是服务器内的宝塔面板开启了ssl的验证,但是没有绑定证书,所以被拦截,关闭宝塔面板的ssl访问认证恢复正常
|
2月前
|
网络安全
HttpURLConnection 跳过ssl验证
HttpURLConnection 跳过ssl验证
70 0
|
11月前
|
网络安全 Python
requests--会话对象,ssl验证
requests--会话对象,ssl验证
|
11月前
|
算法 安全 网络安全
客户端如何验证ssl/tls证书的合法性
客户端是如何验证ssl/tls证书的合法性
413 1
|
Web App开发 负载均衡 安全
浏览器如何验证SSL证书及如何查看网站的证书
浏览器如何验证SSL证书及如何查看网站的证书
浏览器如何验证SSL证书及如何查看网站的证书
|
安全 网络安全 数据建模
SSL证书按照验证等级分类有哪些?
SSL证书按照验证等级分类有哪些? 按验证等级可以分为三类:
SSL证书按照验证等级分类有哪些?
|
域名解析 安全 网络协议
一文读懂,SSL证书怎么做验证?
SSL证书目前已经有越来越多的企业网站开始使用,安装SSL证书后,原有的http协议将会变成安全性更好的https加密协议,这对保护用户的信息安全,保障企业及用户的利益起着重要作用。
426 0
一文读懂,SSL证书怎么做验证?
|
网络安全 PHP
PHP 5.6上的SSL证书验证
PHP 5.6上的SSL证书验证
176 0
|
安全 网络安全 数据安全/隐私保护
netty案例,netty4.1中级拓展篇十三《Netty基于SSL实现信息传输过程中双向加密验证》
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。
393 0
netty案例,netty4.1中级拓展篇十三《Netty基于SSL实现信息传输过程中双向加密验证》
|
网络安全
http请求中关于SSL server certificate验证的trace细节
http请求中关于SSL server certificate验证的trace细节
129 0