GoDaddy revoca miles de certificados SSL de descubrimiento después de error


hosting proveedor de GoDaddy ha revocado certificados SSL casi 9 000 como medida de precaución, después de descubrir un error en el proceso de validación Web.

error autorizado certificados debe ser válido, incluso si el código de validación proporcionado por GoDaddy bajo la autoridad de certificación no se encuentra en el sitio web del cliente, si “se utilizaron algunas configuraciones de servidor de web”, según la empresa.

el fallo fue presentado durante una actualización de código sistemático en 29 de julio de 2016 y fue descubierto por la empresa el 06 de enero de 2017. Los certificados de empresa revocaron el martes y dijo que ya ha presentado nuevas demandas de certificado en nombre de los aproximadamente 6 100 clientes afectados.

clientes pueden iniciar el proceso de certificado desde el Panel de SSL en su cuenta de GoDaddy. Mientras tanto, activado por el certificado, como el cifrado, las medidas de seguridad siguen en su lugar, aunque algunos navegadores aplicarán advertencias en los sitios afectados hasta que se reeditó su certificado.

“antes del error, la biblioteca utilizada para consultar el sitio Web y verifique que el código se ha configurado para devolver un error si el código de Estado HTTP 200 (éxito), no era” GoDaddy VP y gerente general de productos de seguridad escrito Wayne Thayer. “Un cambio en la configuración de la biblioteca causado resultados regresan incluso cuando el código de Estado HTTP no 200” Como muchos servidores web están configurados para incluir la URL de la solicitud en el cuerpo de una respuesta 404 (no encontrado), y la URL contiene también el código al azar, cualquier servidor web configurado en esta auditoría de control de dominio manera causado se completa con éxito. “

, Thayer dijo que GoDaddy no es consciente de cualquier explotación maliciosa del fallo, que afecta menos del dos por ciento de los certificados durante el periodo. La compañía tiene también control de campo comprobado en todos los certificados emitidos en la misma forma y el período de tiempo. GoDaddy Instale certificados de emisión a clientes cuyos sitios aloja, mientras que los usuarios de GoDaddy sólo como una entidad tendrá que instalarlos una vez informado de su disponibilidad.

la autoridad de certificado Consejo de seguridad ha publicado las directrices de firma primer código estándar para los casos en diciembre.