GoDaddy在注冊商的域名驗證過程中發現了一個bug,于2017年1月10日強制撤回超過6000個客戶的SSL證書,并重新簽發了新的SSL證書。
GoDaddy副總裁詳述事情經過
GoDaddy的副總裁即安全部門主管Wayne Thayer表示,這個bug被發現于2016年7月29日,影響了不到2%的GoDaddy證書。
Thayer解釋說,驗證過程的一部分設計了注冊商通過電子郵件向客戶發送放在網站上用戶驗證的驗證碼,系統會對特定位置的代碼進行搜索以完成驗證。
“當這個bug被引入時,某些web服務器配置會導致系統的搜索結果即使在沒有找到代碼時也顯示正確,但是GoDaddy沒有意識到這個bug會引發黑客攻擊。”
黑客可以利用這個bug獲得訪問來自GoDaddy的SSL證書的權限,并可以生成用以傳播惡意軟件或盜取個人信息,如銀行憑證的“合法網站”。
Thayer還表示,GoDaddy已經向受影響的客戶提交了新的證書請求,客戶需要登錄他們的帳戶并在SSL面版中啟動證書。
“這個過程和以前頒發證書時所遵循的過程相同。如果一個客戶擁有超過一個和他們帳戶相關聯的撤回證書,他們需要在SSL面版中對每個域名的SSL證書都進行重置。SSL面版提供了幫助信息和說明來幫助客戶在線快速完成重置過程。”
GoDaddy表示,他們會繼續幫助受影響的網站解決問題,但是客戶可能會看到網站仍然會出現網站不受信任等錯誤警告。
安全專家給普通用戶的警告
專家告誡普通用戶,隨著越來越多的證書頒發機構上線,如Let‘s Encrypt等,這些機構以自動化等方式提供免費證書,這種方式的確非常高效,但同時增大了出現錯誤的可能性。
Venafi(來自美國鹽湖城的一家私有安全加密公司)安全戰略副總裁Kevin Bocek表示,“越來越多的此類事件發生。我們看到了越來越快的證書頒發過程,比如使用DevOps驅動,越來越多的證書頒發組織,比如Let’s Encrypt,這些機構在CA領域的競爭越來越激烈。隨著組織云端化,更多的機器被用于新證書的驗證頒發。”
“所有的證書頒發都使用軟件,”Bocek說,“但是軟件就有可能出現bug,在過去一年中,我們看到了越來越多的此類報告,我們推斷這類事件發生的概率不會降低。”
Let‘s Encrypt已經通過簡單化、自動化的過程為網絡帶來了免費的加密和SSL,這無疑是巨大的進步。Let’s Encrypt并不是唯一一家實現自動化SSL的企業,亞馬遜、Cloudflare和其他公司也提供了免費的SSL證書。Let’s Encrypt使用開放的API ACME(Automated Certificate Management Environment 自動證書管理環境)進行自動化的證書請求和頒發。Mozilla顯示,他們的服務開始于2016年10月,第一次就有超過一半的流量被加密。
“實際上,我們對CA的要求越來越高,越來越多的機器進行SSL請求”,Bocek補充說,“雖然ACME的效率很高,但是它擺脫了人為控制,這正是另一種不安全。”他建議CA頒發機構熟悉NIST(美國標準技術協會)指導對CA攻擊進行準備和應對。
Bocek最后表示,“每個人都需要有一個計劃應對越來越自動化的社會。”
京公網安備 11010502049343號