GoDaddy отозвала почти 9 тыс. сертификатов из-за ошибки в валидации доменов
13.01.2017
Хостинг-провайдер GoDaddy отозвал порядка 9 тысяч SSL-сертификатов после обнаружения ошибки в процедуре удостоверения подлинности доменов.
По словам вице-президента и главного менеджера по ИБ-продукции GoDaddy Уэйна Тейера (Wayne Thayer), ошибка по недосмотру была привнесена 29 июля 2016 года во время рутинного изменения кода, направленного на совершенствование процесса выдачи сертификатов. При некоторых условиях наличие уязвимости вызывает отказ процедуры валидации доменов.
Проблема затрагивает 8 951 сертификат, выданный с 29 июля 2016 года по 10 января 2017 года, что составляет менее 2% сертификатов, выданных в указанный период.
Процедура подтверждения подлинности, принятая GoDaddy, предусматривает отправку кода валидации по электронной почте. Данный код получатель должен разместить на своем сайте. Для завершения проверки подлинности система должна найти данный код в определенном месте. Как пояснил Тейер, с появлением уязвимости некоторые конфигурации web-серверов заставляли систему выдавать положительный результат поиска даже в тех случаях, когда код не был найден.
Компания уже устранила вышеуказанную проблему. По словам представителя хостинг-провайдера, случаи эксплуатации данной уязвимости обнаружены не были.
