GoDaddySSL验证过程出现bug,CA证书颁发自动化值得思考

简介:

GoDaddy在注册商的域名验证过程中发现了一个bug,于2017年1月10日强制撤回超过6000个客户的SSL证书,并重新签发了新的SSL证书。

GoDaddy副总裁详述事情经过

GoDaddy的副总裁即安全部门主管Wayne Thayer表示,这个bug被发现于2016年7月29日,影响了不到2%的GoDaddy证书。

Thayer解释说,验证过程的一部分设计了注册商通过电子邮件向客户发送放在网站上用户验证的验证码,系统会对特定位置的代码进行搜索以完成验证。

“当这个bug被引入时,某些web服务器配置会导致系统的搜索结果即使在没有找到代码时也显示正确,但是GoDaddy没有意识到这个bug会引发黑客攻击。”

黑客可以利用这个bug获得访问来自GoDaddy的SSL证书的权限,并可以生成用以传播恶意软件或盗取个人信息,如银行凭证的“合法网站”。

Thayer还表示,GoDaddy已经向受影响的客户提交了新的证书请求,客户需要登录他们的帐户并在SSL面版中启动证书。

“这个过程和以前颁发证书时所遵循的过程相同。如果一个客户拥有超过一个和他们帐户相关联的撤回证书,他们需要在SSL面版中对每个域名的SSL证书都进行重置。SSL面版提供了帮助信息和说明来帮助客户在线快速完成重置过程。”

GoDaddy表示,他们会继续帮助受影响的网站解决问题,但是客户可能会看到网站仍然会出现网站不受信任等错误警告。

安全专家给普通用户的警告

专家告诫普通用户,随着越来越多的证书颁发机构上线,如Let‘s Encrypt等,这些机构以自动化等方式提供免费证书,这种方式的确非常高效,但同时增大了出现错误的可能性。

Venafi(来自美国盐湖城的一家私有安全加密公司)安全战略副总裁Kevin Bocek表示,“越来越多的此类事件发生。我们看到了越来越快的证书颁发过程,比如使用DevOps驱动,越来越多的证书颁发组织,比如Let’s Encrypt,这些机构在CA领域的竞争越来越激烈。随着组织云端化,更多的机器被用于新证书的验证颁发。”

“所有的证书颁发都使用软件,”Bocek说,“但是软件就有可能出现bug,在过去一年中,我们看到了越来越多的此类报告,我们推断这类事件发生的概率不会降低。”

Let‘s Encrypt已经通过简单化、自动化的过程为网络带来了免费的加密和SSL,这无疑是巨大的进步。Let’s Encrypt并不是唯一一家实现自动化SSL的企业,亚马逊、Cloudflare和其他公司也提供了免费的SSL证书。Let’s Encrypt使用开放的API ACME(Automated Certificate Management Environment 自动证书管理环境)进行自动化的证书请求和颁发。Mozilla显示,他们的服务开始于2016年10月,第一次就有超过一半的流量被加密。

“实际上,我们对CA的要求越来越高,越来越多的机器进行SSL请求”,Bocek补充说,“虽然ACME的效率很高,但是它摆脱了人为控制,这正是另一种不安全。”他建议CA颁发机构熟悉NIST(美国标准技术协会)指导对CA攻击进行准备和应对。

Bocek最后表示,“每个人都需要有一个计划应对越来越自动化的社会。”

本文转自d1net(转载)

相关文章
|
数据采集 域名解析 XML
漏洞猎人赏金笔记-如何编写Bug Bounty自动化脚本
前言 本文原文作者为@pry0cc,本文主要是对原文相关内容的提炼以及笔记,出于易读性考虑,笔者对很多地方做了一定量的注释或者删改(因为原文中的脚本存在一定问题)。 本文主要讲解的是经典的自动化信息搜集以及数据处理和漏洞扫描的流程.
445 0
漏洞猎人赏金笔记-如何编写Bug Bounty自动化脚本
|
iOS开发
iOS自动化真机测试验证环境过程中常见问题解析
iOS自动化真机测试验证环境过程中常见问题解析
iOS自动化真机测试验证环境过程中常见问题解析
本章节主要讲解 iOS 自动化真机配置以及在 iOS 真机执行自动化时常见问题与解决方法。 ## 真机使用的Capability 与模拟器不同,真机测试需要如下的 Capability 方式一:设置 App 路径,启动 App(自动安装 App) ``` { "app": "/Users/seveniruby/Library/Developer/Xcode/DerivedData/UI
iOS自动化真机测试验证环境过程中常见问题解析
本章节主要讲解 iOS 自动化真机配置以及在 iOS 真机执行自动化时常见问题与解决方法。 ## 真机使用的Capability 与模拟器不同,真机测试需要如下的 Capability 方式一:设置 App 路径,启动 App(自动安装 App) ``` { "app": "/Users/seveniruby/Library/Developer/Xcode/DerivedData/UI
|
数据采集 移动开发 搜索推荐
|
测试技术 机器人
你每天跑这么多自动化用例,能发现BUG吗?
为什么要度量测试有效性?这么多的CASE,花了大量时间和资源去运行,真能发现bug吗?CI做到90%的行覆盖率了,能发现问题吗?测试用例越来越多,删一些,会不会就发现不了问题了?怎么找出那些为了覆盖而覆盖,发现不了真正问题的测试用例?本文带您探索其中的奥秘。
1698 0
|
测试技术 Android开发 数据格式
|
1月前
|
Python
办公自动化-Python如何提取Word标题并保存到Excel中?
办公自动化-Python如何提取Word标题并保存到Excel中?
41 2
|
7天前
|
运维 监控 API
自动化运维实践指南:Python脚本优化服务器管理任务
本文探讨了Python在自动化运维中的应用,介绍了使用Python脚本优化服务器管理的四个关键步骤:1) 安装必备库如paramiko、psutil和requests;2) 使用paramiko进行远程命令执行;3) 利用psutil监控系统资源;4) 结合requests自动化软件部署。这些示例展示了Python如何提升运维效率和系统稳定性。
27 8
|
8天前
|
数据采集 人工智能 数据挖掘
让工作自动化起来!无所不能的Python
让工作自动化起来!无所不能的Python