域名注册商 GoDaddy 发现代码漏洞，强制撤消六千名客户 SSL 证书

知名互联网域名注册商 GoDaddy 发现域名验证过程存在漏洞后，立即撤消了 6000 多个客户的 SSL 证书，并开始重新签发证书。

事件详情

GoDaddy 在 1 月 10 日发布公告表示，该漏洞出现于 2016 年 7 月 29 日，GoDaddy 在例行代码更新改进证书颁发过程中意外地引入了 bug ，导致域名验证过程失效。自去年七月起至今年一月十号，在此期间约 2％ 已颁发的证书（ 6100 名客户）受到影响。目前漏洞已经修复，问题证书已经撤销，对于受影响的客户将免费重新签发 SSL 证书。

漏洞原理

当证书机构（ GoDaddy ）验证 SSL 证书域名时，机构会向客户提供一个随机代码，并要求他们将其放置在其网站上的特定位置，域名系统会搜索代码并完成验证。然而，由于 GoDaddy 代码错误，某些 Web 服务器配置会导致系统搜索结果判定异常，系统即使找不到代码也会验证成功。

事件影响

即使 GoDaddy 撤销了网站的 SSL 证书，受影响网站的 HTTPS 加密仍将起作用。在网站安装新的证书之前，访问者可能会在其浏览器中看到警告提示框。GoDaddy 正在免费签发替换证书并对此向客户发送邮件道歉。验证失效是一个很严重的事情，黑客可利用该漏洞欺骗域名注册商 GoDaddy 运行其 SSL 证书，伪装成合法网站，传播恶意软件或窃取个人信息，如银行凭据。

from hackernews.cc.thanks for it.