|
舒适地修复错误导致禁止数字证书的问题.灰鸽子下载,远程控制软件
一个挂锁图标在浏览器的地址栏显示,已经建立了一个安全的HTTPS连接与服务器的SSL证书从一个可接受的证书颁发机构(CA)。
该公司发布了新的证书为内部主机,现在出租车禁止的论坛,灰鸽子。
科摩多周一说,修正了错误,导致了一些之前的发行数字证书。其他的CAs可能有同样的问题。
在新规则下从CA /浏览器论坛(出租车),于11月1日生效,认证机构(CA)不应该发行新的SSL / TLS(安全套接字层/传输层安全性)证书为内部主机名。
科摩多准备了规则的改变,但一个“微妙的错误”是在10月30日,其发行系统引入Rob Stradling写道,高级研发科学家,在驾驶室论坛。
“尽管我们的代码评审和QA过程,这个bug仍然进入生产代码,“Stradling写道。
最终结果是,八个证书发行不应该,和这些证书已经被撤销,他写道。
其他中科院可能有同样的问题。Stradling写道,“我们发现不一致的由相当多的其他ca颁发的证书,但我将在另一篇文章记录这些。”
中科院的原因不应该问题SSL / TLS认证内部主机是防止中间人攻击。
公司和组织传统上买了SSL / TLS证书的服务器或设备内部主机名不能从公共网络。
这些证书用于验证机器交谈。但由于组织不是CAs本身,他们不得不购买这些从ca证书。
虽然中科院验证数字证书申请公共领域,以确保正确的实体是请求,他们不能这样做内部主机。
使攻击者获取数字证书服务器的一个通用名称如“地方。主机”,然后使用它在一个攻击对另一个组织加密的数据流量进行监控。
2016年10月,中科院应该撤销证书为内部主机如果这些证书尚未过期。
Stradling写道,一个热修复分布的科摩多约两个小时后被发现这个问题。
“很遗憾,我们的实现这一重要和long-trialed政策变化低于我们的标准,预计我们的期望,”Stradling写道。 |
|