連日來，歐美多家大型數(shù)字證書經(jīng)銷商反映稱，網(wǎng)絡(luò)基礎(chǔ)服務(wù)商、全球最大的數(shù)字證書提供商 VeriSign 最近的一次升級(jí)導(dǎo)致其旗 下GeoTrust 和 RapidSSL 兩大品牌的 SSL 證書錯(cuò)誤頒發(fā)，并出現(xiàn)嚴(yán)重的漏洞。

VeriSign 此次的系統(tǒng)升級(jí)旨在為 GeoTrust 和 RapidSSL 品牌數(shù)字證書提供自動(dòng)“主題備用名稱”（SANs）功能。這項(xiàng)功能可以幫助證書識(shí)別申請(qǐng)時(shí)提交的多級(jí)域名（例如Shared.hosting.com），而新升級(jí)的 VeriSign 系統(tǒng)則會(huì)自動(dòng)將其主域名（hosting.com）作為主題備用名稱登記下來。這就使頒發(fā)的證書可以同時(shí)應(yīng)用在 shared.hosting.com 和 hosting.com 等多個(gè)域名上。而事實(shí)上，大量二級(jí)域名的所有者并非該域名的所有者/管理者。國(guó)際數(shù)字認(rèn)證專家稱這為多域名證書（SANs）的管理帶來了巨大的混亂，尤其當(dāng)“域名所有者只是提供給客戶其主域名下的二級(jí)域名。”更重要的是，“這次的錯(cuò)誤升級(jí)對(duì)多數(shù)網(wǎng)站來說沒有影響，但是不排除有人利用該漏洞竊聽主域名，比如說使用‘中間人攻擊’（man-in-the-middle attack (MITM)）?！?/P>

據(jù)了解，VeriSign 已在3月12日正式停止在 GeoTrust 和 RapidSSL 多級(jí)域名證書的頒發(fā)。從升級(jí)開始的3月2日到3月12日之間 VeriSign 頒發(fā)的標(biāo)準(zhǔn)主域名證書依然有效。目前VeriSign并沒有就這次的錯(cuò)誤升級(jí)作出解釋，其后續(xù)補(bǔ)救措施也未公布。但多數(shù)專家認(rèn)為，最大的可能是 VeriSign 將吊銷并重頒發(fā)這些有問題的證書。最受影響的用戶應(yīng)該盡早與 VeriSign 聯(lián)系，詢問具體的重頒發(fā)及賠償?shù)仁乱恕?/P>

此次升級(jí)錯(cuò)誤波及的范圍為 VeriSign 旗下的 GeoTrust 和 RapidSSL 兩個(gè)品牌。其他國(guó)際品牌數(shù)字證書（例如 GlobalSign）從未出現(xiàn)過類似情況。目前國(guó)際較大證書提供商多數(shù)提供證書綁定多域名（SANs），這次 VeriSign 也打算將這項(xiàng)功能引進(jìn)到 Geo Trust 和 RapidSSL，結(jié)果卻因?yàn)樯?jí)錯(cuò)誤導(dǎo)致了證書被非法利用的嚴(yán)重漏洞。  

【編輯推薦】

1. HTTPS和SSL協(xié)議存在安全漏洞
2. 你用SSL VPN要小心它仍有安全漏洞