GoDaddy、SSL証明書発行時にバグ、証明書8850件が失効

hylom 曰く、　ホスティングサービスやドメイン名取得代行、認証局などを手がける米GoDaddyは10日、SSL証明書発行の際のドメイン所有者確認システムのバグが判明したため、バグを修正し、発行済み証明書8,850件を失効させたことを明らかにした(GoDaddy Blog - The Garbageの記事、徳丸浩の日記の記事、ITmediaエンタープライズの記事)。

徳丸浩氏の日記が詳しいが、GoDaddyではSSL証明証発行申請者にランダムなコードを発行し、申請者がこのコードを含むファイルを対象ドメインのサーバーの指定位置に配置したことを確認することで、申請者をドメイン所有者として認証する仕組みを採用している。

しかし、修正前のシステムではWebサーバーのレスポンスコードを確認せず、コードをそのままファイル名にするよう指定していたため、サーバーの設定によってはファイルが設置されていないにもかかわらず、認証成功の扱いになることがある。たとえば、404エラーとともに「The requested URL /<コード>.html was not found on this server. 」というレスポンスが返された場合、レスポンスにコードが含まれるため、ファイルが設置されたものと認識してしまう。これにより、ファイルを設置しなくても証明書を入手することが可能だったという。

問題が発生しはじめたのは2016年7月29日とのことで、この期間に発行された証明書を失効させる手続きが取られたそうだ。

　なお、この期間中に発行された証明書のうち、申請者を正しく認証しないまま発行された証明書は2%程度とのことだ。

　スラドのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
Let’s Encryptのアクティブな証明書が2000万を超える 2017年01月12日
HTTPSを利用できるニュースサイトは105サイト中29％ 2016年12月17日
グローバルサインのルート証明書が一時的に失効するトラブル 2016年10月24日
Comodo、OCRの誤認識により一部ドメインで正規所有者以外がSSL証明書を取得できる状態だった 2016年10月23日
証明書の不正発行や日付改ざんを行っていた認証局「WoSign」、Firefoxが同社による証明書をブロックへ 2016年10月04日
GoDaddy、DNS設定を行うためのAPIを発表 2016年09月24日
中国大手SSL認証局で不正に証明書を取得できてしまう問題が明らかに 2016年09月02日
米国のドメイン登録業者GoDaddy.com、cnドメインの取り扱いを中止 2010年03月26日