Китайский УЦ выдал SSL-сертификат для домена Github простому пользователю

Заявитель может получить бесплатный SSL-сертификат для базового домена, если сможет подтвердить контроль над поддоменом.




Китайский удостоверяющий центр (УЦ) WoSign, специализирующийся на выдаче бесплатных SSL-сертификатов, по ошибке выдал сертификаты для базовых доменов Github и Университета Центральной Флориды простому пользователю.


По словам сотрудника Mozilla Джерваза Маркхама (Gervase Markham), инцидент произошел в апреле прошлого года, однако компании стало об этом известно только сейчас. Уязвимость выявил один из студентов Университета Центральной Флориды (его имя не раскрывается). Исследователь подал запрос на получение сертификата для поддомена med.ucf.edu, в котором случайно указал еще один домен - www.ucf.edu. WoSign одобрил заявку и выдал сертификаты. Таким же образом студент смог получить сертификаты для доменов github.com, github.io и www.github.io.


Как отметил Маркхам, проблема состоит в том, что заявитель может получить бесплатный SSL-сертификат для базового домена, если сможет подтвердить контроль над поддоменом. WoSign была немедленно проинформирована об ошибке, однако отозван был только сертификат для Github.


«Сертификат для ucf.edu так и не был отозван, что свидетельствует об отсутствии возможности либо нежелании WoSign провести проверку базы данных на предмет подобных ошибок», - подчеркнул Маркхам.


Напомним, на прошлой неделе на протяжении нескольких дней был недоступен сайт Единого реестра российского ПО. Как оказалось, проблема была связана с окончанием срока действия SSL-сертификата.
Stfw.Ru
Читайте также


Оставить комментарий
Имя:  

Комментарий:

Примечание: При комментировании материала просим соблюдать законы Российской Федерации. Пожалуйста, воздержитесь от оскорблений и токсичного поведения.

Сводка событий

14:08 Vodafone Украина запустил 4G в диапазоне 1800 МГц в Мариуполе


14:08 Sony стала лидером рынка полнокадровых камер США


14:08 «Прощай, месячная абонплата»: Все крупные мобильные операторы Украины, включая Киевстар, Vodafone и lifecell, переходят на 28-дневную тарификацию припейд-тарифов


14:08 На Skip Ahead доступна сборка Windows 10 18219 (19H1)


14:08 Poptel P10 – смартфон в бронированном корпусе со скидкой в GearBest


14:08 Товарищ Император вздрогнул": Ведущая из США приписала Японии коммунистическое прошлое


14:08 Сто лет назад. Американские войска высадились в Сибири


14:08 Совет директоров "РусАла" одобрил смену юрисдикции с острова Джерси на РФ


14:08 Лукашенко наградил Кадырова орденом Дружбы народов


14:08 КНДР потребовала от США подписать мирный договор


14:08 К 2050 году от инфекций будут умирать чаще чем от рака (ВОЗ сообщила о резком росте устойчивости микробов к антибиотикам)


14:08 HMD Global приглашает на презентацию смартфона. Nokia 9?


11:08 Сотрудники Google воспротивились разработке поисковика с цензурой для Китая. Но Брин и Пичаи, похоже, уже все уладили


Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.