GoDaddy是世界上最大的域名注册商和认证机构,最近撤销了将近9000个SSL证书,在本周发现的域验证系统已经在过去的五个月里出现了严重的错误。
该bug是去年7月29日的常规代码更改到证书颁发前,验证域所有权系统的的一个错误.。其结果是,该系统可能是经验证一些领域时,本来不应该通过,但是由于bug存在导致不应该通过的验证,反而通过了。
GoDaddy撤销近9,000份未经验证的SSL证书
行业规则要求证书颁发机构检查是否为该域请求证书的人,并核对,对该域是否有控制权.。这可以通过多种方式进行,包括要求申请人在使用该域名时同意对网站进行更改。
一些CAS要求证书申请人在指定的位置上创建一个公共访问的文件,并在其web服务器上使用唯一的代码或令牌。代码是一个独特的随机数字,放在Web服务器的根文件夹。
该错误导致系统忽略HTTP状态码,这是有问题的因为许多Web服务器配置为返回原始请求的URL是404(未找到)错误。这个问题错误影响了6100左右的客户。如果有恶意攻击者了解这个问题,他们很可能获得欺诈的域名,他们可以利用这个bug获得授权证书。
本文转自d1net(转载)
