没有适当的验证,Godaddy唤起了近9,000个SSL证书
Godaddy是世界上最大的域名注册商和证书当局之一,在本周撤销了近9,000个SSL证书后,在得知其域验证系统过去五个月内有严重的错误。
该BUG是在7月29日之前进行的例行代码更改的结果,该系统用于在发出证书之前验证域所有权的系统。因此,系统可能会在不应该的情况下验证某些域,打开滥用的可能性。
行业规则呼叫证书颁发机构(CAS)检查请求域的证书是否有该域的人。这可以以各种方式完成,包括要求申请人使用该领域对网站进行同意的更改。
某些CAS要求证书申请人在预定位置创建一个具有唯一代码或令牌的公开访问文件。在Godaddy的情况下,该公司要求申请人用名称<code> .html的文件放置一个文件,其中代码是一个唯一的随机字母数字on-sil web服务器的根文件夹。
在引入错误之前,CA“自动域验证系统试图通过HTTP或HTTPS访问申请人的Web服务器上的此商定文件。如果服务器响应HTTP状态代码200(成功),则验证工具查找响应主体内的代码并验证域。
该错误导致系统忽略HTTP状态代码,但这是一个问题,因为许多Web服务器都是CONPD,以返回404(未找到)错误的主体内的原始请求的URL。由于所请求的URL以文件名的形式包含文件名,因此即使从服务器实际丢失了文件本身,也是验证域名的秘密代码。
这一问题对不到2%的证书产生了影响,因为该错误被引入并影响了大约6,100名客户,而不是在Godaddy的安全产品副总裁兼总经理韦恩Thayer,周二在博客帖子中表示。
然而,在周三的Mozilla安全策略邮件列表中,Thayer表示,该公司撤销了8,951个证书,因为验证文件丢失,它无法重新验证域。
这些证书的所有者将免费获取更换,但他们需要登录他们的Godaddy帐户并从SSL面板启动认证过程。
如果恶意攻击者了解这个问题,他们本可以获得他们不拥有或控制的域名的欺诈性证书。根据Thayer的说法,该公司目前没有意识到任何事件,在没有授权的情况下利用此错误以获得证书。
Thayer表示,该问题最初被微软向Godaddy报告给Godaddy,其中一位经销商是从其自己的客户那里了解到的。“发现错误的客户撤消了他们所获得的证书,并作为用于Microsoft和Godaddy用于测试的请求结果的后续证书已被撤销。”
Mozilla邮件列表上的一个用户指出,即使没有这个错误,Godaddy的域验证实现仍然是易受攻击的,因为即使存在所请求的资源,某些Web服务器也会响应HTTP状态代码200。
周三,Godaddy决定完全停止使用这种基于文件的域控制验证的方法,但它不清楚有多少其他CAS使用类似的验证方法,这些方法可能允许攻击者获得他们不拥有的域名的证书。
CA /浏览器论坛是一个创建管理证书颁发规定的组织,自至少四月以来一直意识到这一问题。它起草了新规则,根据该规则,用于验证域的秘密代码不得出现在CAS使用的请求中,以检索包含它们的文件或网页。这些更新规则将于3月1日生效。