没有适当的验证,Godaddy唤起了近9,000个SSL证书 报告:去年50个新的美国工作来自太阳能 云服务在2016年在SAP占收入增长的一半 交易商可能不符合2019年3月底的新海关IT系统 企业中的应用地点 印度隐私案反对Whatsapp获得势头 在伦敦丢失的移动设备强调安全风险 采取我们的2018年薪资调查,并告诉我们您对其工作的看法 新加坡建立语音识别系统,加快紧急响应 2018年英国最有影响力的女性:进入名人堂的参赛者 马来西亚在建设分析人才方面取得了良好的进展 NRAM在记忆技术中传动一个“圣战” 恶意软件分销商正在切换到较少的可疑文件类型 IBM将谷歌的AI工具带到其电力硬件中 Facebook股东将从董事会赶上Zuckerberg的攀登 赎金软件涉及尽管是最高成本 gdpr和备份:潜在的雷区容易避免 谷歌声称它准备好了gdpr AT&T计划中域与LTE-M国家IOT网络 政府的编码研究所可以帮助解决英国的技术技能吗? 新的29美元Pine64采用覆盆子PI计算模块3 与传统银行的IT专业人士相比,金融科学部门越来越有吸引力 庞培宣誓就作为中央情报局负责人,在监督批评者的反对中 Hacker使用众所周知的漏洞利用删除黑色Web托管服务 伦敦市长开始开车让城市为AI COLT DCS承诺支持PWC-LED推动,推动技术人数 物联网和个人设备对企业提出了巨大的安全风险 三星的Tizen 4.0操作系统正在开发,并于9月份截止 Lenovo Tunes N23 Yoga Chromebook for Android应用程序带ARM处理器 面试:GDPR将给荷兰隐私看牙齿 Microsoft Slates于二月结束于安全公告 Microsoft扩展了FastTrack迁移服务 政府的编码研究所可以帮助解决英国的技术技能吗? 光纤网络突破对数据安全有影响 A.I.面对炒作,在RSA网络安全展会上的怀疑 Suiteworld 2018:Magic Johnson为适应千禧一位客户提供建议 D-Wave在其Qubits上翻转 研究揭示了全球网络犯罪价值1.5亿美元 英国在暗网上发射镇压 荷兰中小企业的网络安全是不够的 Mingis关于Tech:浮动太阳能电池板 - oxymoron还是即将到来的能量波? GDPR:Microsoft首席说,将您的数据放在Azure Cloud中 Snap To支付谷歌每年400米的云服务 Microsoft恢复免费Windows 10升级SMB 电视科学会看到多个路径到事物互联网收入 云增长继续提高微软的财务状况 下一个iPhone可能会花费船 学校部长宣布支持计算教师的支持计划 TSB在熔化开始时拒绝劳埃德的帮助 更新:NVIDIA的新型Quadro GP100 GPU为Windows计算机带来了NVLink
您的位置:首页 >程序人生 >

没有适当的验证,Godaddy唤起了近9,000个SSL证书

Godaddy是世界上最大的域名注册商和证书当局之一,在本周撤销了近9,000个SSL证书后,在得知其域验证系统过去五个月内有严重的错误。

该BUG是在7月29日之前进行的例行代码更改的结果,该系统用于在发出证书之前验证域所有权的系统。因此,系统可能会在不应该的情况下验证某些域,打开滥用的可能性。

行业规则呼叫证书颁发机构(CAS)检查请求域的证书是否有该域的人。这可以以各种方式完成,包括要求申请人使用该领域对网站进行同意的更改。

某些CAS要求证书申请人在预定位置创建一个具有唯一代码或令牌的公开访问文件。在Godaddy的情况下,该公司要求申请人用名称<code> .html的文件放置一个文件,其中代码是一个唯一的随机字母数字on-sil web服务器的根文件夹。

在引入错误之前,CA“自动域验证系统试图通过HTTP或HTTPS访问申请人的Web服务器上的此商定文件。如果服务器响应HTTP状态代码200(成功),则验证工具查找响应主体内的代码并验证域。

该错误导致系统忽略HTTP状态代码,但这是一个问题,因为许多Web服务器都是CONPD,以返回404(未找到)错误的主体内的原始请求的URL。由于所请求的URL以文件名的形式包含文件名,因此即使从服务器实际丢失了文件本身,也是验证域名的秘密代码。

这一问题对不到2%的证书产生了影响,因为该错误被引入并影响了大约6,100名客户,而不是在Godaddy的安全产品副总裁兼总经理韦恩Thayer,周二在博客帖子中表示。

然而,在周三的Mozilla安全策略邮件列表中,Thayer表示,该公司撤销了8,951个证书,因为验证文件丢失,它无法重新验证域。

这些证书的所有者将免费获取更换,但他们需要登录他们的Godaddy帐户并从SSL面板启动认证过程。

如果恶意攻击者了解这个问题,他们本可以获得他们不拥有或控制的域名的欺诈性证书。根据Thayer的说法,该公司目前没有意识到任何事件,在没有授权的情况下利用此错误以获得证书。

Thayer表示,该问题最初被微软向Godaddy报告给Godaddy,其中一位经销商是从其自己的客户那里了解到的。“发现错误的客户撤消了他们所获得的证书,并作为用于Microsoft和Godaddy用于测试的请求结果的后续证书已被撤销。”

Mozilla邮件列表上的一个用户指出,即使没有这个错误,Godaddy的域验证实现仍然是易受攻击的,因为即使存在所请求的资源,某些Web服务器也会响应HTTP状态代码200。

周三,Godaddy决定完全停止使用这种基于文件的域控制验证的方法,但它不清楚有多少其他CAS使用类似的验证方法,这些方法可能允许攻击者获得他们不拥有的域名的证书。

CA /浏览器论坛是一个创建管理证书颁发规定的组织,自至少四月以来一直意识到这一问题。它起草了新规则,根据该规则,用于验证域的秘密代码不得出现在CAS使用的请求中,以检索包含它们的文件或网页。这些更新规则将于3月1日生效。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。