我偶然發現了一個受所有現代瀏覽器和計算機信任的證書頒發機構中的巨大安全漏洞。
特別是,我能夠為我不擁有的域獲得有效的簽名證書。如果我有能力成為一名中間人,那麼我將能夠出示完全有效的ssl證書。
此漏洞不需要我進行SQL注入或編碼。我很形像地偶然發現了它。
報告此問題的正確方法是什麼?我想遵守道德規範,並將其報告給有問題的CA,但我也不想讓他們簡單地修復漏洞,然後徹底清除所有漏洞。這個問題似乎已經存在了一段時間,我根本不夠聰明,無法成為唯一能夠找到它的人。
我擔心,僅聯繫CA會引起恐慌。他們擔心自己會遇到類似DigiNotar的事件,因此會採取任何措施阻止公眾發現它。
我還允許我聯繫一些主要參與者,例如其他證書頒發機構或其他站點,例如作為CloudFlare還是Google? (我知道CloudFlare在公開公告發布之前就已經接受了有關HeartBleed的警告。)
注意:我正在使用一個假名帳戶發布消息,以(暫時)保持匿名。
>編輯:該問題與另一個問題有關,但我認為此漏洞不在該問題的範圍內。這實際上可能會影響整個互聯網(即,每個在線用戶都是客戶),我的問題明確指出,僅聯繫“開發人員”(鏈接問題的公認答案)對我來說似乎並不是最好的第一步。 / p>
編輯2:我已經與一些人聯繫,他們建議我避免在這個論壇上再談(對不起!)。漏洞完全修復並吊銷了所有不正確的證書後,我將在稍後更新此問題。
編輯3:詳細信息已出。我已經在我的個人網站上發布了有關該漏洞的詳細信息。這個故事仍在進行中,您可以閱讀Mozilla,Google和CA WoSign之間的討論。
編輯4:如所承諾的,我正在更新指向的鏈接。 Ars Technica撰寫的有關此事件以及涉及WoSign的其他事件的文章。看起來WoSign和StartCom(現在由同一公司擁有)可能有被根撤消的嚴重危險。