GoDaddy在注冊(cè)商的域名驗(yàn)證過(guò)程中發(fā)現(xiàn)了一個(gè)bug,于2017年1月10日強(qiáng)制撤回超過(guò)6000個(gè)客戶的SSL證書,并重新簽發(fā)了新的SSL證書。
GoDaddy副總裁詳述事情經(jīng)過(guò)
GoDaddy的副總裁即安全部門主管Wayne Thayer表示,這個(gè)bug被發(fā)現(xiàn)于2016年7月29日,影響了不到2%的GoDaddy證書。
Thayer解釋說(shuō),驗(yàn)證過(guò)程的一部分設(shè)計(jì)了注冊(cè)商通過(guò)電子郵件向客戶發(fā)送放在網(wǎng)站上用戶驗(yàn)證的驗(yàn)證碼,系統(tǒng)會(huì)對(duì)特定位置的代碼進(jìn)行搜索以完成驗(yàn)證。
“當(dāng)這個(gè)bug被引入時(shí),某些web服務(wù)器配置會(huì)導(dǎo)致系統(tǒng)的搜索結(jié)果即使在沒(méi)有找到代碼時(shí)也顯示正確,但是GoDaddy沒(méi)有意識(shí)到這個(gè)bug會(huì)引發(fā)黑客攻擊。”
黑客可以利用這個(gè)bug獲得訪問(wèn)來(lái)自GoDaddy的SSL證書的權(quán)限,并可以生成用以傳播惡意軟件或盜取個(gè)人信息,如銀行憑證的“合法網(wǎng)站”。
Thayer還表示,GoDaddy已經(jīng)向受影響的客戶提交了新的證書請(qǐng)求,客戶需要登錄他們的帳戶并在SSL面版中啟動(dòng)證書。
“這個(gè)過(guò)程和以前頒發(fā)證書時(shí)所遵循的過(guò)程相同。如果一個(gè)客戶擁有超過(guò)一個(gè)和他們帳戶相關(guān)聯(lián)的撤回證書,他們需要在SSL面版中對(duì)每個(gè)域名的SSL證書都進(jìn)行重置。SSL面版提供了幫助信息和說(shuō)明來(lái)幫助客戶在線快速完成重置過(guò)程。”
GoDaddy表示,他們會(huì)繼續(xù)幫助受影響的網(wǎng)站解決問(wèn)題,但是客戶可能會(huì)看到網(wǎng)站仍然會(huì)出現(xiàn)網(wǎng)站不受信任等錯(cuò)誤警告。
安全專家給普通用戶的警告
專家告誡普通用戶,隨著越來(lái)越多的證書頒發(fā)機(jī)構(gòu)上線,如Let‘s Encrypt等,這些機(jī)構(gòu)以自動(dòng)化等方式提供免費(fèi)證書,這種方式的確非常高效,但同時(shí)增大了出現(xiàn)錯(cuò)誤的可能性。
Venafi(來(lái)自美國(guó)鹽湖城的一家私有安全加密公司)安全戰(zhàn)略副總裁Kevin Bocek表示,“越來(lái)越多的此類事件發(fā)生。我們看到了越來(lái)越快的證書頒發(fā)過(guò)程,比如使用DevOps驅(qū)動(dòng),越來(lái)越多的證書頒發(fā)組織,比如Let’s Encrypt,這些機(jī)構(gòu)在CA領(lǐng)域的競(jìng)爭(zhēng)越來(lái)越激烈。隨著組織云端化,更多的機(jī)器被用于新證書的驗(yàn)證頒發(fā)。”
“所有的證書頒發(fā)都使用軟件,”Bocek說(shuō),“但是軟件就有可能出現(xiàn)bug,在過(guò)去一年中,我們看到了越來(lái)越多的此類報(bào)告,我們推斷這類事件發(fā)生的概率不會(huì)降低。”
Let‘s Encrypt已經(jīng)通過(guò)簡(jiǎn)單化、自動(dòng)化的過(guò)程為網(wǎng)絡(luò)帶來(lái)了免費(fèi)的加密和SSL,這無(wú)疑是巨大的進(jìn)步。Let’s Encrypt并不是唯一一家實(shí)現(xiàn)自動(dòng)化SSL的企業(yè),亞馬遜、Cloudflare和其他公司也提供了免費(fèi)的SSL證書。Let’s Encrypt使用開(kāi)放的API ACME(Automated Certificate Management Environment 自動(dòng)證書管理環(huán)境)進(jìn)行自動(dòng)化的證書請(qǐng)求和頒發(fā)。Mozilla顯示,他們的服務(wù)開(kāi)始于2016年10月,第一次就有超過(guò)一半的流量被加密。
“實(shí)際上,我們對(duì)CA的要求越來(lái)越高,越來(lái)越多的機(jī)器進(jìn)行SSL請(qǐng)求”,Bocek補(bǔ)充說(shuō),“雖然ACME的效率很高,但是它擺脫了人為控制,這正是另一種不安全。”他建議CA頒發(fā)機(jī)構(gòu)熟悉NIST(美國(guó)標(biāo)準(zhǔn)技術(shù)協(xié)會(huì))指導(dǎo)對(duì)CA攻擊進(jìn)行準(zhǔn)備和應(yīng)對(duì)。
Bocek最后表示,“每個(gè)人都需要有一個(gè)計(jì)劃應(yīng)對(duì)越來(lái)越自動(dòng)化的社會(huì)。”