Webhosting-firma i teknisk brøler: Udstedte 8.850 falske certifikater

12. januar 2017 kl. 15:442
Fejlen skyldes ifølge hostingfirmaet Godaddy selv en teknisk opdatering, der gik galt.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Webhosting-firmaet Godaddy har netop gjort flere tusinde af deres kunder opmærksomme på, at der kan være problemer med de certifikater, de har fået udstedt på deres website. Det fremgår af en mail, der blev delt på Reddit.

Af mailen fremgår det, at Godaddy forsøgte at opdatere den software, der står for at udstede certifikaterne, da en uspecificeret fejl dukkede op. I praksis betød det, at adskillige hjemmesider har kørt i godt en uge med et certifikat, der var udstedt uden at være blevet godkendt på den korrekte måde.

Mange af hjemmesiderne virkede ifølge Godaddy stadig med en begrænset funktionalitet.

Godaddy opdagede ikke selv fejlen, men blev gjort opmærksom på den af to Microsoft-medarbejdere. De medarbejdere, der normalt håndterer sådanne anmeldelser hos Godaddy, var på ferie. Derfor har de ramte hjemmesider kørt med et certifikat, der ikke virkede i længere tid, end hvad der er hensigtsmæssigt, erkender Godaddy.

Påvirker kun nogle domæner

Ifølge Microsofts anmeldelse påvirkede fejlen tilsyneladende kun DNS A-records, hvor domænet pegede på ip-adressen 127.0.0.1. Men da Godaddy begyndte at se nærmere på problemet viste det sig, at det var mere omfattende end det.

Artiklen fortsætter efter annoncen

Godaddy oplyser selv, at fejlen nu er rettet og at en liste over de 8.850 ødelagte certifikater er blevet udarbejdet. Siden er de alle blevet trukket tilbage.

Ingen tegn på misbrug

Godaddy skriver også, at der ikke umiddelbart er nogle tegn på, at nogen har forsøgt at udnytte de ødelagte certifikater, og at fejlen kun omfattede to procent af alle de certifikater, Godaddy udstedte, mens fejlen stod på.

Efterfølgende har Godaddy udrullet adskillige kode-opdateringer, lyder det fra webhosting-firmaet.

»Mens vi er sikre på, at vi har løst problemet nu holder vi nøje øje med vores systemer for at se, om flere certifikater udstedes uden ordentlig domæne-verifikation, lyder det til sidst i mailen fra produktchef i Godaddy, Wayne Thayer.

Han lover desuden, at hvis der findes flere fejl, vil kunderne blive informeret, så snart Godaddy kender til dem.

2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
12. januar 2017 kl. 17:30

Ifølge den refererede mail validerer GoDaddy ejerskab af et domænenavn fx "example.com" ved at udstede en kode fx "12345678", og bede brugeren oprette en side på adressen "http://example.com/12345678.html" som indeholder koden "12345678". Problemet er så at mange sites har fejlsider med en tekst i formatet "Siden 12345678.html findes ikke". Hvis et domæne har sådanne fejlsider vil GoDaddys validering altid være successfuld, selvom du ikke har kontrol over domænet. GoDaddy har derfor lavet nogle tjek for at detektere og ignorere sådanne fejlsider. Disse ekstra tjek er ved en fejl blevet slået fra i det seneste halve år, og GoDaddy har så rettet fejlen ved at slå tjeksne til igen.

Det virker ikke som en solid validering. I stedet for at lave ekstra tjeks på om svaret de får tilbage ligner en automatisk genereret fejlside, burde de ændre deres validering, så der var to forskellige koder til henholdsvis adressen og indholdet. Så ville de helt undgå problemer med sider der automatisk gengiver adressen i indholdet. Det er bekymrende at en betroet CA ikke selv opdager sådan et problem. Men det er da altid noget at de nu helt har fjernet denne valideringsmetode, efter den oprindelige mail blev skrevet, nu hvor Mozilla har gjort dem opmærksom på det.

1
12. januar 2017 kl. 16:52

"Udstedte 8.850 falske certifikater" -> nej, ud af alle de certifikater de har udstedt, var der 8850, som GoDaddy ikke kunne re-verificere om var falske eller ej, fordi disse kunder havde fjernet verifikationskoden fra deres domæner efterfølgende.

"I praksis betød det, at adskillige hjemmesider har kørt i godt en uge med et certifikat, der ikke var udstedt uden at være blevet godkendt på den korrekte måde." -> For det første har i vidst en negation for meget i sætningen. For det andet er tidsskalaen en lidt anden. 29. juli 2016 til 6. januar 2017 er en smule længere end en uge. Den uge der omtales er fra GoDaddy modtog en mail om fejlen, til at en medarbejder hos GoDaddy læste mailen.

"Mange af hjemmesiderne virkede ifølge GoDaddy stadig med en begrænset funktionalitet." -> Hvor har i fundet den information? Den ser ikke ud til at have nogen relation til virkeligheden. Siderne har virket fuldt ud ind til nu, hvor GoDaddy har tilbagekaldt certifikaterne.