شرکت GoDaddy نزدیک به ۹ هزار گواهی‌نامه را باطل کرد

شرکت GoDaddy که ارائه‌دهنده‌ی سرویس میزبانی وب و ثبت دامنه است، هفته‌ی گذشته به کاربران خود اطلاع داد که نزدیک به ۹ هزار گواهی‌نامه‌ی SSL را باطل کرده است. این شرکت یک اشکال نرم‌افزاری را کشف کرده که فرآیند اعتبارسنجی و تأیید دامنه را غیرقابل اعتماد می‌سازد.

این شرکت اشکال امنیتی را در ۸ مرداد ماه معرفی کرد و در راستای بهبود فرآیند اعتبارسنجی دامنه‌ها کد مربوط به آن را تغییر داد. GoDaddy در تاریخ ۹ دی توسط مایکروسافت از این مسئله باخبر شد و ۲۱ دی تمامی گواهی‌نامه‌هایی را که تحت تأثیر قرار گرفته بودند، باطل کرد. این گواهی‌نامه‌ها در بازه‌های زمانی پیشِ رو مجدداً صادر خواهند شد.

در فرآیند اعتبارسنجی یک دامنه برای گواهی‌نامه‎ی SSL، شرکت GoDaddy برای مشتری یک کد تصادفی ارائه می‌دهد و از او می‌خواهد تا این کد را در مکان مشخصی از وب‌گاه خود قرار دهد. زمانی‌که سامانه‌ی GoDaddy این کد را بر روی وب‌گاه مشتری پیدا کرد، فرآیند اعتبارسنجی دامنه تکمیل می‌شود. در آسیب‌پذیری که مرداد ماه معرفی شده بود، وب‌گاه می‌توانست طوری پیکربندی شود که حتی در صورت پیدا نکردن کد مورد نظر، GoDaddy اعتبار وب‌گاه را تأیید کند.

یک محقق امنیتی از شرکت GoDaddy توضیح داد: «قبل از کشف این آسیب‌پذیری، کتابخانه‌ای که پرس‌وجو برای پیدا کردن کد تصادفی را به وب‌گاه ارسال می‌کرد، طوری پیکربندی شده بود که اگر وضعیت درخواست HTTP برابر با ۲۰۰ نبود، فرآیند اعتبارسنجی با شکست مواجه شود. تغییرات در پیکربندی این کتابخانه باعث شده حتی اگر وضعیت HTTP وب‌گاه ۲۰۰ نبود، درخواست اعتبارسنجی با موفقیت انجام شود. بخاطر اینکه بسیاری از کارگزارهای وب طوری پیکربندی شده‌اند که در بدنه‌ی پاسخ وضعیتِ ۴۰۴ آدرس URL درخواست وجود دارد و در داخل URL نیز کد تصادفی گنجانده شده است، هر کارگزار وب با این پیکربندی باعث می‌شود فرآیند اعتبارسنجی دامنه با موفقیت انجام شود.»

شرکت GoDaddy تعداد ۸۹۵۱ گواهی‌نامه فاقد فرآیند درست اعتبارسنجی دامنه را شناسایی کرده است که ۲ درصد از کل گواهی‌نامه‌های صادرشده در بازه‌ی مرداد تا دی ماه را شامل می‌شود. این غول میزبانی وب اعلام کرد این حادثه نزدیک به ۶۱۰۰ مشتری را تحت تأثیر قرار داده است.

برای کاربرانی که تحت تأثیر قرار گرفته‌اند به‌طور رایگان یک گواهی‌نامه‌ی جدید صادر شده و درخواستی از طرف GoDaddy برای پنل گواهی‌نامه‌های SSL آن‌ها ارسال شده است. وب‌گاه‌هایی که تحت تأثیر قرار گرفته‌اند به عملکرد خود ادامه داده و از ارتباطات رمزنگاری‌شده استفاده می‌کنند هرچند که ممکن است مرورگرهای وب در بازدید از این وب‌گاه‌ها پیام‌های هشدار را نمایش دهند.

شرکت GoDaddy گفت شواهدی مبنی بر بهره‌برداری از این آسیب‌پذیری و خرید این‌گونه از گواهی‌نامه‌ها برای دامنه‌های مختلف مشاهده نشده است. هر دو شرکت گوگل و موزیلا نیز برای وقوع این حادثه، هشداری صادر کرده‌اند.

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.