GoDaddy在注册商的域名验证过程中发现了一个bug,于2017年1月10日强制撤回超过6000个客户的SSL证书,并重新签发了新的SSL证书。 GoDaddy副总裁详述事情经过GoDaddy的副总裁即安全部门主管Wayne Thayer表示,这个bug被发现于2016年7月29日,影响了不到2%的GoDaddy证书。 Thayer解释说,验证过程的一部分设计了注册商通过电子邮件向客户发送放在网站上用户验证的验证码,系统会对特定位置的代码进行搜索以完成验证。
Thayer还表示,GoDaddy已经向受影响的客户提交了新的证书请求,客户需要登录他们的帐户并在SSL面版中启动证书。
GoDaddy表示,他们会继续帮助受影响的网站解决问题,但是客户可能会看到网站仍然会出现网站不受信任等错误警告。 安全专家给普通用户的警告专家告诫普通用户,随着越来越多的证书颁发机构上线,如Let‘s Encrypt等,这些机构以自动化等方式提供免费证书,这种方式的确非常高效,但同时增大了出现错误的可能性。
Let‘s Encrypt已经通过简单化、自动化的过程为网络带来了免费的加密和SSL,这无疑是巨大的进步。Let’s Encrypt并不是唯一一家实现自动化SSL的企业,亚马逊、Cloudflare和其他公司也提供了免费的SSL证书。Let’s Encrypt使用开放的API ACME(Automated Certificate Management Environment 自动证书管理环境)进行自动化的证书请求和颁发。Mozilla显示,他们的服务开始于2016年10月,第一次就有超过一半的流量被加密。
* 参考来源:threatpost,FB小编FireFrank编译 |