连日来,欧美多家大型数字证书经销商反映称,网络基础服务商、全球最大的数字证书提供商 VeriSign 最近的一次升级导致其旗 下GeoTrust 和 RapidSSL 两大品牌的 SSL 证书错误颁发,并出现严重的漏洞。
VeriSign 此次的系统升级旨在为 GeoTrust 和 RapidSSL 品牌数字证书提供自动“主题备用名称”(SANs)功能。这项功能可以帮助证书识别申请时提交的多级域名(例如Shared.hosting.com),而新升级的 VeriSign 系统则会自动将其主域名(hosting.com)作为主题备用名称登记下来。这就使颁发的证书可以同时应用在 shared.hosting.com 和 hosting.com 等多个域名上。而事实上,大量二级域名的所有者并非该域名的所有者/管理者。国际数字认证专家称这为多域名证书(SANs)的管理带来了巨大的混乱,尤其当“域名所有者只是提供给客户其主域名下的二级域名。”更重要的是,“这次的错误升级对多数网站来说没有影响,但是不排除有人利用该漏洞窃听主域名,比如说使用‘中间人攻击’(man-in-the-middle attack (MITM))。”
据了解,VeriSign 已在3月12日正式停止在 GeoTrust 和 RapidSSL 多级域名证书的颁发。从升级开始的3月2日到3月12日之间 VeriSign 颁发的标准主域名证书依然有效。目前VeriSign并没有就这次的错误升级作出解释,其后续补救措施也未公布。但多数专家认为,最大的可能是 VeriSign 将吊销并重颁发这些有问题的证书。最受影响的用户应该尽早与 VeriSign 联系,询问具体的重颁发及赔偿等事宜。
此次升级错误波及的范围为 VeriSign 旗下的 GeoTrust 和 RapidSSL 两个品牌。其他国际品牌数字证书(例如 GlobalSign)从未出现过类似情况。目前国际较大证书提供商多数提供证书绑定多域名(SANs),这次 VeriSign 也打算将这项功能引进到 Geo Trust 和 RapidSSL,结果却因为升级错误导致了证书被非法利用的严重漏洞。
【编辑推荐】
