憑證機構Comodo研發科學長Rob Stradling透過CA/Browser Forum(CAB)論壇表示,他們已撤銷因一個小臭蟲而誤發的8個憑證。
根據CAB在2012年7月1日實施的憑證發行暨管理基本規則,在2016年10月以前將撤銷所有列出內部伺服器名稱或所保留IP位址的SSL/TLS憑證,而且在今年11月1日之後即不得再發行相關憑證,以避免駭客能夠藉由猜測常用的伺服器名稱並發動中間人攻擊。
Stradling表示,為了遵循此一規則,他們在今年的10月30日於CA系統上作了一些程式的改變,以自動刪除憑證申請中所含有的內部伺服器名稱及保留IP位址,但後來卻發現憑證發行程式中仍可看到被刪除的名稱,檢查後發現總計誤發了8個在新規則上線後不該出現的憑證。
Comodo已通知受影響的客戶,修補了憑證系統,並撤銷這8個憑證,在擴大調查後發現,還有不少憑證機構也發行了已被禁用的憑證。Comodo現為全球最大的SSL憑證發行商,市佔率高達33.6%。(編譯/陳曉莉)