GoDaddy在注册商的域名验证过程中发现了一个bug,于2017年1月10日强制撤回超过6000个客户的SSL证书,并重新签发了新的SSL证书。
GoDaddy副总裁详述事情经过
GoDaddy的副总裁即安全部门主管Wayne Thayer表示,这个bug被发现于2016年7月29日,影响了不到2%的GoDaddy证书。
Thayer解释说,验证过程的一部分设计了注册商通过电子邮件向客户发送放在网站上用户验证的验证码,系统会对特定位置的代码进行搜索以完成验证。
“当这个bug被引入时,某些web服务器配置会导致系统的搜索结果即使在没有找到代码时也显示正确,但是GoDaddy没有意识到这个bug会引发黑客攻击。”
黑客可以利用这个bug获得访问来自GoDaddy的SSL证书的权限,并可以生成用以传播恶意软件或盗取个人信息,如银行凭证的“合法网站”。
Thayer还表示,GoDaddy已经向受影响的客户提交了新的证书请求,客户需要登录他们的帐户并在SSL面版中启动证书。
“这个过程和以前颁发证书时所遵循的过程相同。如果一个客户拥有超过一个和他们帐户相关联的撤回证书,他们需要在SSL面版中对每个域名的SSL证书都进行重置。SSL面版提供了帮助信息和说明来帮助客户在线快速完成重置过程。”
GoDaddy表示,他们会继续帮助受影响的网站解决问题,但是客户可能会看到网站仍然会出现网站不受信任等错误警告。
安全专家给普通用户的警告
专家告诫普通用户,随着越来越多的证书颁发机构上线,如Let‘s Encrypt等,这些机构以自动化等方式提供免费证书,这种方式的确非常高效,但同时增大了出现错误的可能性。
Venafi(来自美国盐湖城的一家私有安全加密公司)安全战略副总裁Kevin Bocek表示,“越来越多的此类事件发生。我们看到了越来越快的证书颁发过程,比如使用DevOps驱动,越来越多的证书颁发组织,比如Let’s Encrypt,这些机构在CA领域的竞争越来越激烈。随着组织云端化,更多的机器被用于新证书的验证颁发。”
“所有的证书颁发都使用软件,”Bocek说,“但是软件就有可能出现bug,在过去一年中,我们看到了越来越多的此类报告,我们推断这类事件发生的概率不会降低。”
Let‘s Encrypt已经通过简单化、自动化的过程为网络带来了免费的加密和SSL,这无疑是巨大的进步。Let’s Encrypt并不是唯一一家实现自动化SSL的企业,亚马逊、Cloudflare和其他公司也提供了免费的SSL证书。Let’s Encrypt使用开放的API ACME(Automated Certificate Management Environment 自动证书管理环境)进行自动化的证书请求和颁发。Mozilla显示,他们的服务开始于2016年10月,第一次就有超过一半的流量被加密。
“实际上,我们对CA的要求越来越高,越来越多的机器进行SSL请求”,Bocek补充说,“虽然ACME的效率很高,但是它摆脱了人为控制,这正是另一种不安全。”他建议CA颁发机构熟悉NIST(美国标准技术协会)指导对CA攻击进行准备和应对。
Bocek最后表示,“每个人都需要有一个计划应对越来越自动化的社会。”
本文转自d1net(转载)
