GoDaddy отзывает свои сертификаты из-за бага

Хостинг-провайдер GoDaddy вынужден отозвать выданные SSL сертификаты из-за найденного в них бага.

По словам вице-президента Уэйна Тейера эта ошибка была обнаружена еще 29 июля и произошла по недосмотру специалистов из GoDaddy, когда они меняли код, который был призван усовершенствовать выдачу SSL сертификатов.

Система проверки подлинности включает в отправку клиенту кода валидации, который он должен установить в определенное место на своем ресурсе, после этого система искала этот код и если он обнаруживался, сайт проходил валидацию и признавался подлинным.

Однако, закравшаяся ошибка в коде, позволяла на некоторых конфигурациях серверов, проходить такую валидацию, даже если код валидации не был найден. Стоит отметить, что это была не единственная проблема, сертификаты так же были подвержены для спуфинг-атак, при помощи которых киберпреступники могли получать доступ к такому сертификату и выдавать фишинговый или вредоносный сайт за легитимный.

В GoDaddy начали оформлять заявки на получение новых сертификатов, взамен старых, по словам специалистов, было затронуто около 2% всех выданных сертификатов. Ответственные лица GoDaddy так же сообщили, что сайты, на которых были установлены баговые сертификаты будут доступны, но могут отображать сообщение о незащищенном соединении.