V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
FunnyToy
V2EX  ›  SSL

Comodo 又粗事了,错误签发了奥地利电信 A1 的证书!

  •  
  •   FunnyToy · 2016-10-24 17:57:49 +08:00 · 2264 次点击
    这是一个创建于 2951 天前的主题,其中的信息可能已经有所发展或是发生改变。
    之前 Comodo 错误签发了一个顶级域.sb 的证书,但是影响不大。不过这次是错误签发了奥地利电信 A1 的证书给非域名所有者,原因竟然是域名自动验证过程中,图像识别组件识别错误,把小写 L 识别为数字 1 。研究人员利用这个错误拿到了 a1-telekom.eu 的受信任证书。
    http://www.solidot.org/story?sid=50109
    https://bugzilla.mozilla.org/show_bug.cgi?id=1311713
    6 条回复    2016-10-26 11:20:44 +08:00
    stneng
        1
    stneng  
       2016-10-24 18:11:26 +08:00
    帮你附一个证书:
    https://crt.sh/?id=47045653
    Quaintjade
        2
    Quaintjade  
       2016-10-24 18:51:07 +08:00 via Android
    估计不会有太严重的惩罚,毕竟不是主观原因。

    我想起了以前谁家复印机用了不恰当的压缩算法,导致复印后的文件内容与原文件不同。
    FunnyToy
        3
    FunnyToy  
    OP
       2016-10-25 09:04:13 +08:00
    @Quaintjade 9 月份 Comodo 已经出了两次事故了,之前是给.sb 顶级域签发证书 https://jiasule.v2ex.com/t/310244
    不过 Comodo 应该是全球份额最大吧, Mozilla 也不敢拿它怎么样, too big to fail
    Quaintjade
        4
    Quaintjade  
       2016-10-25 09:24:18 +08:00 via Android
    @FunnyToy
    上次那个就更没关系了,因为没有实际风险。

    重要的是是否主观违法规则(比如沃通的 back-dating )或者实质性的重大问题(比如 DigiNotar )。
    可以看看沃通之前存在多少逗逼的问题,但直到 back-dating 被抓到前一直没被惩罚过。

    要说 too big to fail , Verisign 之前的测试证书问题能算一个。
    580a388da131
        5
    580a388da131  
       2016-10-25 10:09:28 +08:00
    封根 拉黑
    qingxin
        6
    qingxin  
       2016-10-26 11:20:44 +08:00
    Comodo 又不怕火狐
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2778 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 02:19 · PVG 10:19 · LAX 18:19 · JFK 21:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.