行业专家表示,强制撤销域名注册商和网络托管公司Godaddy的Web Hosting Company Godaddy进一步强调了组织需要更好地控制。
安全套接字层证书(SSL证书)是Web Server上安装的小数据文件,允许服务器和WebBrowser之间的安全连接。
根据Godaddy高级互联网产品和技术领导者Wayne Thayer的说法,SSL证书从TrustedCertificate权限(CA)发出,但影响Godaddy的域验证处理系统的错误导致未经适当的域验证的8,850证书。
通过微软提醒Godaddy并在修复域验证系统后开始撤销受影响的证书,他在博客帖子中说。
根据Thayer的说法,该错误于2016年7月介绍了Godaddy的验证码,并且即使控制检查返回了404(未找到)代码,也是由验证过程完成的验证过程引起的。
在引入错误之前,域验证过程才会在收到HTTP 200(成功)代码时完成。
“我们在使用这种验证方法的每个证书上重新验证了域控件,从介绍错误,直到它是固定的,”Thayer写道。
他说,部署了额外的代码更改以防止使用高速缓存和可能未经验证的域验证信息重新发布证书。
“但是,在识别和关闭此路径之前,使用此类高速缓存和可能未经验证的域验证信息重新发出另外的101个证书,从而导致总共总总计8,951个证书,该证书在没有适当的域验证的情况下发出的8,951个证书,因此由于该错误而没有适当的域验证, “ 他写了。
Thayer表示,Godaddy并不了解“对此错误的任何恶意开发,以便为未授权的域采购证书”。
凯文·博克(Kevin Bocek)在卫星公司Venafi举行的Cyber Security博士表示,Godaddy的事件不是CA Industry的孤立的事件。“最近,Globalsign的错误将交通锁定了客户的网站,暂时锁定了其客户网站的流量,”他说。
Digital证书中的趋势使全球经济能够影响Bocek的每一个互联网用户,商业和政府,但企业依赖于管理它们的手工方法。
“为了保护您的业务,您必须知道每种证书的位置,并能够立即更换任何一个,”他说。“作为使用云,移动和物联网[物联网]设备驱动了对数字证书的需求的爆炸,企业需要准备好回应证书机构的错误和安全妥协的增加。”
Venafi的数字信托分析总监Tim Sodard表示,Godaddy的问题预示着每个组织的地平线上的更大的证书颁发机构问题。
欺格嫌疑人这一事件可能是一个较大的Devops和攻击问题的公众证据。“我们知道组织符合Devops SLA [服务级别协议]并同时获得安全,这是艰难的,”他说。“因此,许多组织在Devops开发,测试和生产中使用证书进行快捷方式。时间压力完全可能引入了此安全证书漏洞。
“组织通常没有他们需要解决这样的问题的可见性,而且,他们无法及时回应。经常,他们无法快速撤消并更换错误的证书。事实上,大多数组织一次手动更换证书 - 一个不安全,冗长和资源密集的过程。
“这种安全问题,如这种对在线存在的任何业务产生了负面影响,并且他们的加密风险姿势越来越越大,负面影响越大。”
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。