传GoDaddy错误签发近9000份SSL证书

全球著名域名注册商和认证机构GoDaddy最近签发将近9000个未经过正确验证的SSL证书，在本周发现的域验证系统已经在过去的五个月里出现了严重的错误。

该bug是去年7月29日的常规代码更改到证书颁发前，验证域所有权系统的的一个错误。其结果是，该系统可能是经验证一些领域时，本来不应该通过，但是由于bug存在导致不应该通过的验证，反而通过了。

行业规则要求证书颁发机构检查是否为该域请求证书的人，并核对，对该域是否有控制权。这可以通过多种方式进行，包括要求申请人在使用该域名时同意对网站进行更改。

一些CAS要求证书申请人在指定的位置上创建一个公共访问的文件，并在其web服务器上使用唯一的代码或令牌。代码是一个独特的随机数字，放在Web服务器的根文件夹。

该错误导致系统忽略HTTP状态码，这是有问题的。因为许多Web服务器配置为返回原始请求的URL是404(未找到)错误。这个问题错误影响了6100左右的客户。如果有恶意攻击者了解这个问题，他们很可能获得欺诈的域名，他们可以利用这个bug获得授权证书。

文字来源：中关村在线