DigiCert 警告称,由于域控制验证 (DCV) 的不合规问题,该公司正大规模撤销已经发放的 SSL/TLS 证书,数量超过8万个。
DigiCert 是提供 SSL/TLS 证书的著名证书颁发机构 (CA) 之一,包括域验证 (DV)、组织验证 (OV) 和扩展验证 (EV) 证书。这些证书用于加密用户与网站或应用程序之间的通信,从而提高安全性,防止恶意网络监控和中间人攻击。
为域颁发证书时,证书颁发机构必须首先执行域控制验证 (DCV) 以确认客户拥有该域。用于验证域所有权的方法之一是在证书的 DNS CNAME 记录中添加一个带有随机值的字符串,然后对域执行 DNS 查找以确保随机值匹配。
根据 CABF 基线要求,随机值应由域名分隔,并带有下划线。否则,域与用于验证的子域之间存在冲突的风险。但DigiCert称,最近在一些基于CNAME的验证案例中没有在随机值中包含下划线前缀。
原文始发于微信公众号(FreeBuf):由于域验证错误,DigiCert 大规模撤销 TLS 证书
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论