VeriSign數字證書GeoTrust和RapidSSL現嚴重漏洞
連日來,歐美多家大型數字證書經銷商反映稱,網絡基礎服務商、全球最大的數字證書提供商 VeriSign 最近的一次升級導致其旗 下GeoTrust 和 RapidSSL 兩大品牌的 SSL 證書錯誤頒發,并出現嚴重的漏洞。
VeriSign 此次的系統升級旨在為 GeoTrust 和 RapidSSL 品牌數字證書提供自動“主題備用名稱”(SANs)功能。這項功能可以幫助證書識別申請時提交的多級域名(例如Shared.hosting.com),而新升級的 VeriSign 系統則會自動將其主域名(hosting.com)作為主題備用名稱登記下來。這就使頒發的證書可以同時應用在 shared.hosting.com 和 hosting.com 等多個域名上。而事實上,大量二級域名的所有者并非該域名的所有者/管理者。國際數字認證專家稱這為多域名證書(SANs)的管理帶來了巨大的混亂,尤其當“域名所有者只是提供給客戶其主域名下的二級域名。”更重要的是,“這次的錯誤升級對多數網站來說沒有影響,但是不排除有人利用該漏洞竊聽主域名,比如說使用‘中間人攻擊’(man-in-the-middle attack (MITM))。”
據了解,VeriSign 已在3月12日正式停止在 GeoTrust 和 RapidSSL 多級域名證書的頒發。從升級開始的3月2日到3月12日之間 VeriSign 頒發的標準主域名證書依然有效。目前VeriSign并沒有就這次的錯誤升級作出解釋,其后續補救措施也未公布。但多數專家認為,最大的可能是 VeriSign 將吊銷并重頒發這些有問題的證書。最受影響的用戶應該盡早與 VeriSign 聯系,詢問具體的重頒發及賠償等事宜。
此次升級錯誤波及的范圍為 VeriSign 旗下的 GeoTrust 和 RapidSSL 兩個品牌。其他國際品牌數字證書(例如 GlobalSign)從未出現過類似情況。目前國際較大證書提供商多數提供證書綁定多域名(SANs),這次 VeriSign 也打算將這項功能引進到 Geo Trust 和 RapidSSL,結果卻因為升級錯誤導致了證書被非法利用的嚴重漏洞。
【編輯推薦】
