没有适当的验证,Godaddy唤起了近9,000个SSL证书
IBM为可穿戴设备的集线器可以让您更快地离开医院
欧洲基础设施云交易成长,因为合同尺寸缩小
企业中的应用地点
2018年英国最有影响力的女性:进入名人堂的参赛者
印度隐私案反对Whatsapp获得势头
Facebook股东将从董事会赶上Zuckerberg的攀登
Microsoft扩展了FastTrack迁移服务
谷歌声称它准备好了gdpr
AT&T计划中域与LTE-M国家IOT网络
三星的Tizen 4.0操作系统正在开发,并于9月份截止
云增长继续提高微软的财务状况
Suiteworld 2018:Magic Johnson为适应千禧一位客户提供建议
下一个iPhone可能会花费船
研究揭示了全球网络犯罪价值1.5亿美元
AMD为与英特尔织机的战斗开始了雷森芯片
英联邦网络安全资金受到欢迎
Microsoft恢复免费Windows 10升级SMB
大约150个三角洲航班在美国停电后取消了
美国减税和美元的下降推荐数据中心支出
Experian:如何包含可以解决的问题
DARPA希望创建安全的数据共享技术
联想的ThinkPad P71将使用HTC,Oculus VR耳机
Deutsche银行系统更换已经偿还
苏格兰村庄以半正常成本推出FTTP宽带
GDS验证老板表示,GDS希望在数字身份上“双手控制”
Gatwick Airport完成1500万英镑的网络升级,以支持扩展计划
Apple的Plus计划偿还
微软与日本的混合现实的JRC组成
研究人员被指控的AMD芯片缺陷不负责任地披露
马里兰州立法者寻求揭示H-1B雇主
维珍列车使用AI和虚拟现实来提高客户体验
无密码安全使用语音,用户行为来验证身份
据报道,卡巴斯基实验室员工在叛逆的收费中逮捕了俄罗斯
如何编码:女孩使用伙伴关系将女孩们教授代码
汇丰银行录音机面向瑞士的引渡
欧盟美国的数据分享为爱尔兰法院的威胁,将Facebook案件称为欧洲
英国公司未能为网络攻击进行财务计划
美国太阳能产业通过石油,煤炭和天然气创造
Apple和Samsung在2016年全年看到智能手机下跌
首先直接使客户通过Siri支付
挪威的税务局通过它对经济犯罪作出战斗
Apple智能手机Outsold Samsung在Q4
Mingis关于Tech:'Alexa,新闻中的内容是什么?'
宽带客户满意度的Talktalk最糟糕
Microsoft将Outlook.com添加到服务订阅列表,其中50美元/年级优惠选项
HMRC停止或延迟转换项目以确保海关系统已准备好Brexit
Elastifile将NAS文件访问存储添加到Google Cloud Launcher
Oracle扩展了英国数据中心区域的云服务的可用性
法院命令谷歌生产国外存储的电子邮件
您的位置:首页 >论坛 > 电子商务 >

没有适当的验证,Godaddy唤起了近9,000个SSL证书

2021-08-04 20:44:11 [来源]:

Godaddy是世界上最大的域名注册商和证书当局之一,在本周撤销了近9,000个SSL证书后,在得知其域验证系统过去五个月内有严重的错误。

该BUG是在7月29日之前进行的例行代码更改的结果,该系统用于在发出证书之前验证域所有权的系统。因此,系统可能会在不应该的情况下验证某些域,打开滥用的可能性。

行业规则呼叫证书颁发机构(CAS)检查请求域的证书是否有该域的人。这可以以各种方式完成,包括要求申请人使用该领域对网站进行同意的更改。

某些CAS要求证书申请人在预定位置创建一个具有唯一代码或令牌的公开访问文件。在Godaddy的情况下,该公司要求申请人用名称<code> .html的文件放置一个文件,其中代码是一个唯一的随机字母数字on-sil web服务器的根文件夹。

在引入错误之前,CA“自动域验证系统试图通过HTTP或HTTPS访问申请人的Web服务器上的此商定文件。如果服务器响应HTTP状态代码200(成功),则验证工具查找响应主体内的代码并验证域。

该错误导致系统忽略HTTP状态代码,但这是一个问题,因为许多Web服务器都是CONPD,以返回404(未找到)错误的主体内的原始请求的URL。由于所请求的URL以文件名的形式包含文件名,因此即使从服务器实际丢失了文件本身,也是验证域名的秘密代码。

这一问题对不到2%的证书产生了影响,因为该错误被引入并影响了大约6,100名客户,而不是在Godaddy的安全产品副总裁兼总经理韦恩Thayer,周二在博客帖子中表示。

然而,在周三的Mozilla安全策略邮件列表中,Thayer表示,该公司撤销了8,951个证书,因为验证文件丢失,它无法重新验证域。

这些证书的所有者将免费获取更换,但他们需要登录他们的Godaddy帐户并从SSL面板启动认证过程。

如果恶意攻击者了解这个问题,他们本可以获得他们不拥有或控制的域名的欺诈性证书。根据Thayer的说法,该公司目前没有意识到任何事件,在没有授权的情况下利用此错误以获得证书。

Thayer表示,该问题最初被微软向Godaddy报告给Godaddy,其中一位经销商是从其自己的客户那里了解到的。“发现错误的客户撤消了他们所获得的证书,并作为用于Microsoft和Godaddy用于测试的请求结果的后续证书已被撤销。”

Mozilla邮件列表上的一个用户指出,即使没有这个错误,Godaddy的域验证实现仍然是易受攻击的,因为即使存在所请求的资源,某些Web服务器也会响应HTTP状态代码200。

周三,Godaddy决定完全停止使用这种基于文件的域控制验证的方法,但它不清楚有多少其他CAS使用类似的验证方法,这些方法可能允许攻击者获得他们不拥有的域名的证书。

CA /浏览器论坛是一个创建管理证书颁发规定的组织,自至少四月以来一直意识到这一问题。它起草了新规则,根据该规则,用于验证域的秘密代码不得出现在CAS使用的请求中,以检索包含它们的文件或网页。这些更新规则将于3月1日生效。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。