Из-за ошибки УЦ Comodo выдал некорректные сертификаты

Представители компании Comodo подтвердили, что из-за ошибки в системе ее удостоверяющий центр выдал восемь некорректных сертификатов, которые содержали имя внутреннего сервера или служебный IP-адрес.

Использование таких обозначений в сертификатах, датированных позднее 1 ноября 2015 года, запрещено с 2012 года по решению Форума производителей браузеров и удостоверяющих центров (CA/Browser Forum). Предположительно, данная мера должна была пресечь существующую практику издания сертификатов для внутренних серверов, сходство которых открывает сети для атак «человек посередине» и повышает риски других угроз.

Как признал старший специалист Comodo по исследованиям и разработке Роб Стрэдлинг (Rob Stradling), причиной издания противоречащих требованиям экземпляров является некорректная работа системы сертификации компании. В ходе внутреннего расследования выяснилось, что при изменении системного кода в него была внесена незначительная ошибка.

Модификация кода должна была облегчить перенастройку системы в соответствии с новыми требованиями, вступающими в силу с 1 ноября, и обеспечить автоматическое удаление всех внутренних имен и служебных IP-адресов из запроса до выпуска сертификата. Изменение кода предполагало удаление маркера notAfter для даты 1 ноября 2015 года. Проблема заключалась в том, что «удаленные» имена по-прежнему были видны коду, который использовался для издания сертификатов.

Comodo оперативно выпустила соответствующий патч и отозвала все восемь сертификатов.