知名互联网域名注册商 GoDaddy 发现域名验证过程存在漏洞后,立即撤消了 6000 多个客户的 SSL 证书,并开始重新签发证书。
事件详情
GoDaddy 在 1 月 10 日发布公告表示,该漏洞出现于 2016 年 7 月 29 日,GoDaddy 在例行代码更新改进证书颁发过程中意外地引入了 bug ,导致域名验证过程失效。自去年七月起至今年一月十号,在此期间约 2% 已颁发的证书( 6100 名客户)受到影响。目前漏洞已经修复,问题证书已经撤销,对于受影响的客户将免费重新签发 SSL 证书。
漏洞原理
当证书机构( GoDaddy )验证 SSL 证书域名时,机构会向客户提供一个随机代码,并要求他们将其放置在其网站上的特定位置,域名系统会搜索代码并完成验证。然而,由于 GoDaddy 代码错误,某些 Web 服务器配置会导致系统搜索结果判定异常,系统即使找不到代码也会验证成功。
事件影响
即使 GoDaddy 撤销了网站的 SSL 证书,受影响网站的 HTTPS 加密仍将起作用。在网站安装新的证书之前,访问者可能会在其浏览器中看到警告提示框。GoDaddy 正在免费签发替换证书并对此向客户发送邮件道歉。验证失效是一个很严重的事情,黑客可利用该漏洞欺骗域名注册商 GoDaddy 运行其 SSL 证书,伪装成合法网站,传播恶意软件或窃取个人信息,如银行凭据。
from hackernews.cc.thanks for it.