Китайский УЦ выдал SSL-сертификат для домена Github простому пользователю

Китайский удостоверяющий центр (УЦ) WoSign, специализирующийся на выдаче бесплатных SSL-сертификатов, по ошибке выдал сертификаты для базовых доменов Github и Университета Центральной Флориды простому пользователю.

По словам сотрудника Mozilla Джерваза Маркхама (Gervase Markham), инцидент произошел в апреле прошлого года, однако компании стало об этом известно только сейчас. Уязвимость выявил один из студентов Университета Центральной Флориды (его имя не раскрывается). Исследователь подал запрос на получение сертификата для поддомена med.ucf.edu, в котором случайно указал еще один домен - www.ucf.edu . WoSign одобрил заявку и выдал сертификаты. Таким же образом студент смог получить сертификаты для доменов github.com, github.io и www.github.io .

Как отметил Маркхам, проблема состоит в том, что заявитель может получить бесплатный SSL-сертификат для базового домена, если сможет подтвердить контроль над поддоменом. WoSign была немедленно проинформирована об ошибке, однако отозван был только сертификат для Github.

«Сертификат для ucf.edu так и не был отозван, что свидетельствует об отсутствии возможности либо нежелании WoSign провести проверку базы данных на предмет подобных ошибок», - подчеркнул Маркхам.

Напомним , на прошлой неделе на протяжении нескольких дней был недоступен сайт Единого реестра российского ПО. Как оказалось, проблема была связана с окончанием срока действия SSL-сертификата.