Tags:
Node Thumbnail

GoDaddy แจ้งว่าการอัพเกรดซอฟต์แวร์เพื่อตรวจสอบโดเมนเมื่อปีที่แล้วมีช่องโหว่ ทำให้กระบวนการออกใบรับรองไม่เป็นไปตามมาตรฐานของ CA/Browser Forum และทางบริษัทจะยกเลิกใบรับรอง 8,850 ใบ กระทบลูกค้ารวม 6,100 ราย

ช่องโหว่เป็นซอฟต์แวร์ยืนยันความเป็นเจ้าของโดเมนด้วยการวางไฟล์เปล่าตามชื่อที่กำหนดเอาไว้ในเว็บเซิร์ฟเวอร์ โดยระบบตรวจสอบนี้จะหาว่าเว็บเซิร์ฟเวอร์ตอบไฟล์กลับมาหรือไม่ แต่การอัพเดตซอฟต์แวร์กลับทำให้ระบบตรวจสอบไม่ตรวจ status code ที่เซิร์ฟเวอร์ตอบกลับมา ทำให้เมื่อเซิร์ฟเวอร์ไม่พบไฟล์แล้วตอบกลับมาเป็นรหัส 404 แต่ยังคงมีชื่อไฟล์ในเนื้อ HTTP ทาง GoDaddy ก็ยอมปล่อยใบรับรองให้กับเซิร์ฟเวอร์เหล่านั้น โดยทางบริษัทระบุว่ายังไม่พบการใช้ช่องโหว่นี้จงใจหลอกเพื่อเอาใบรับรองแต่อย่างใด

ความผิดพลาดเหล่านี้มีผู้ใช้น้อยกว่า 2% ของผู้ใช้ทั้งหมด ทาง GoDaddy ประกาศยกเลิกใบรับรองที่ได้รับผลกระทบจากช่องโหว่นี้ ทำให้เว็บที่ได้รับผลกระทบขึ้นหน้าจอเตือนใบรับรองเข้ารหัสผิดพลาด สำหรับลูกค้าที่ใช้บริการโฮสต์ของบริษัท ทาง GoDaddy จะเปลี่ยนใบรับรองให้อัตโนมัติ

ที่มา - GoDaddy, PC World, The Register

Get latest news from Blognone