Comodo 又粗事了，错误签发了奥地利电信 A1 的证书！

2016-10-24 17:57:49 +08:00

FunnyToy

之前 Comodo 错误签发了一个顶级域.sb 的证书，但是影响不大。不过这次是错误签发了奥地利电信 A1 的证书给非域名所有者，原因竟然是域名自动验证过程中，图像识别组件识别错误，把小写 L 识别为数字 1 。研究人员利用这个错误拿到了 a1-telekom.eu 的受信任证书。
http://www.solidot.org/story?sid=50109
https://bugzilla.mozilla.org/show_bug.cgi?id=1311713

2159 次点击

所在节点

SSL

6 条回复

stneng

2016-10-24 18:11:26 +08:00

帮你附一个证书：
https://crt.sh/?id=47045653

Quaintjade

2016-10-24 18:51:07 +08:00

估计不会有太严重的惩罚，毕竟不是主观原因。

我想起了以前谁家复印机用了不恰当的压缩算法，导致复印后的文件内容与原文件不同。

FunnyToy

2016-10-25 09:04:13 +08:00

@Quaintjade 9 月份 Comodo 已经出了两次事故了，之前是给.sb 顶级域签发证书 https://jiasule.v2ex.com/t/310244
不过 Comodo 应该是全球份额最大吧， Mozilla 也不敢拿它怎么样， too big to fail

Quaintjade

2016-10-25 09:24:18 +08:00

@FunnyToy
上次那个就更没关系了，因为没有实际风险。

重要的是是否主观违法规则（比如沃通的 back-dating ）或者实质性的重大问题（比如 DigiNotar ）。
可以看看沃通之前存在多少逗逼的问题，但直到 back-dating 被抓到前一直没被惩罚过。

要说 too big to fail ， Verisign 之前的测试证书问题能算一个。

580a388da131

2016-10-25 10:09:28 +08:00

封根拉黑

qingxin

2016-10-26 11:20:44 +08:00

Comodo 又不怕火狐

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/315092

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.