GoDaddySSL驗證過程出現bug,CA證書頒發自動化值得思考
GoDaddy在註冊商的域名驗證過程中發現了一個bug,於2017年1月10日強制撤回超過6000個客戶的SSL證書,並重新簽發了新的SSL證書。
GoDaddy副總裁詳述事情經過
GoDaddy的副總裁即安全部門主管Wayne Thayer表示,這個bug被發現於2016年7月29日,影響了不到2%的GoDaddy證書。
Thayer解釋說,驗證過程的一部分設計了註冊商通過電子郵件向客戶發送放在網站上用戶驗證的驗證碼,系統會對特定位置的代碼進行搜索以完成驗證。
「當這個bug被引入時,某些web伺服器配置會導致系統的搜索結果即使在沒有找到代碼時也顯示正確,但是GoDaddy沒有意識到這個bug會引發黑客攻擊。」
黑客可以利用這個bug獲得訪問來自GoDaddy的SSL證書的許可權,並可以生成用以傳播惡意軟體或盜取個人信息,如銀行憑證的「合法網站」。
Thayer還表示,GoDaddy已經向受影響的客戶提交了新的證書請求,客戶需要登錄他們的帳戶並在SSL面版中啟動證書。
「這個過程和以前頒發證書時所遵循的過程相同。如果一個客戶擁有超過一個和他們帳戶相關聯的撤回證書,他們需要在SSL面版中對每個域名的SSL證書都進行重置。
SSL面版提供了幫助信息和說明來幫助客戶在線快速完成重置過程。」
GoDaddy表示,他們會繼續幫助受影響的網站解決問題,但是客戶可能會看到網站仍然會出現網站不受信任等錯誤警告。
安全專家給普通用戶的警告
專家告誡普通用戶,隨著越來越多的證書頒發機構上線,如Let『s Encrypt等,這些機構以自動化等方式提供免費證書,這種方式的確非常高效,但同時增大了出現錯誤的可能性。
Venafi(來自美國鹽湖城的一家私有安全加密公司)安全戰略副總裁Kevin Bocek表示,「越來越多的此類事件發生。我們看到了越來越快的證書頒發過程。
比如使用DevOps驅動,越來越多的證書頒發組織,比如Let』s Encrypt,這些機構在CA領域的競爭越來越激烈。隨著組織雲端化,更多的機器被用於新證書的驗證頒發。」
「所有的證書頒發都使用軟體,」Bocek說,「但是軟體就有可能出現bug,在過去一年中,我們看到了越來越多的此類報告,我們推斷這類事件發生的概率不會降低。」
Let『s Encrypt已經通過簡單化、自動化的過程為網路帶來了免費的加密和SSL,這無疑是巨大的進步。Let』s Encrypt並不是唯一一家實現自動化SSL的企業,亞馬遜、Cloudflare和其他公司也提供了免費的SSL證書。
Let』s Encrypt使用開放的API ACME(Automated Certificate Management Environment 自動證書管理環境)進行自動化的證書請求和頒發。
Mozilla顯示,他們的服務開始於2016年10月,第一次就有超過一半的流量被加密。
「實際上,我們對CA的要求越來越高,越來越多的機器進行SSL請求」,Bocek補充說,「雖然ACME的效率很高,但是它擺脫了人為控制,這正是另一種不安全。」他建議CA頒發機構熟悉NIST(美國標準技術協會)指導對CA攻擊進行準備和應對。
Bocek最後表示,「每個人都需要有一個計劃應對越來越自動化的社會。」
* 參考來源:
threatpost
,FB小編FireFrank編譯,轉載請註明來自
FreeBuf.COM
※WhatsApp的「後門」是故意為之,還是提升體驗的副產品?
※眾安保險推出免費電信詐騙保險
※Shadow Brokers決定退隱江湖,並放出方程式免費入侵工具
TAG:FreeBuf |
※Google Chrome不再信任賽門鐵克所有SSL證書
※SGS與Kosher Check合作在中國首發Kosher猶太潔食認證證書
※Golang 安裝SSL證書
※吳恩達deeplearning.ai實習生招募開放:僅要求MOOC課程證書
※Google 宣布 Chrome 將不再信任賽門鐵克 SSL 證書
※詳解SSL證書中的keystore
※Windows、macOS和Linux平台設置HTTPS以及自簽名證書詳細指南
※Postfix 安裝SSL證書
※Tomcat 安裝SSL證書
※沃通上線DigiCert Inc簽發的新證書
※cPanel 安裝SSL證書
※GlassFish 4.1 安裝SSL證書教程
※Zijidelu lum 控制面板安裝SSL證書
※有了FRM證書,找工作變得 so easy!
※ProFTPD 安裝SSL證書
※WindowsServer2008 IIS7 SSL證書安裝
※Nginx安裝SSL證書
※Symantec API漏洞:黑客可竊取私人SSL密鑰及證書
※中國開發者請注意:ios 11不再信賴WoSign證書