連日來，歐美多家大型數(shù)字證書經(jīng)銷商反映稱，網(wǎng)絡(luò)基礎(chǔ)服務(wù)商、全球最大的數(shù)字證書提供商 VeriSign 最近的一次升級導(dǎo)致其旗 下GeoTrust 和 RapidSSL 兩大品牌的 SSL 證書錯誤頒發(fā)，并出現(xiàn)嚴重的漏洞。

VeriSign 此次的系統(tǒng)升級旨在為 GeoTrust 和 RapidSSL 品牌數(shù)字證書提供自動“主題備用名稱”（SANs）功能。這項功能可以幫助證書識別申請時提交的多級域名（例如Shared.hosting.com），而新升級的 VeriSign 系統(tǒng)則會自動將其主域名（hosting.com）作為主題備用名稱登記下來。這就使頒發(fā)的證書可以同時應(yīng)用在 shared.hosting.com 和 hosting.com 等多個域名上。而事實上，大量二級域名的所有者并非該域名的所有者/管理者。國際數(shù)字認證專家稱這為多域名證書（SANs）的管理帶來了巨大的混亂，尤其當(dāng)“域名所有者只是提供給客戶其主域名下的二級域名?！备匾氖?，“這次的錯誤升級對多數(shù)網(wǎng)站來說沒有影響，但是不排除有人利用該漏洞竊聽主域名，比如說使用‘中間人攻擊’（man-in-the-middle attack (MITM)）。”

據(jù)了解，VeriSign 已在3月12日正式停止在 GeoTrust 和 RapidSSL 多級域名證書的頒發(fā)。從升級開始的3月2日到3月12日之間 VeriSign 頒發(fā)的標準主域名證書依然有效。目前VeriSign并沒有就這次的錯誤升級作出解釋，其后續(xù)補救措施也未公布。但多數(shù)專家認為，最大的可能是 VeriSign 將吊銷并重頒發(fā)這些有問題的證書。最受影響的用戶應(yīng)該盡早與 VeriSign 聯(lián)系，詢問具體的重頒發(fā)及賠償?shù)仁乱恕?/P>

此次升級錯誤波及的范圍為 VeriSign 旗下的 GeoTrust 和 RapidSSL 兩個品牌。其他國際品牌數(shù)字證書（例如 GlobalSign）從未出現(xiàn)過類似情況。目前國際較大證書提供商多數(shù)提供證書綁定多域名（SANs），這次 VeriSign 也打算將這項功能引進到 Geo Trust 和 RapidSSL，結(jié)果卻因為升級錯誤導(dǎo)致了證書被非法利用的嚴重漏洞。  

【編輯推薦】

1. HTTPS和SSL協(xié)議存在安全漏洞
2. 你用SSL VPN要小心它仍有安全漏洞