Ошибка удостоверяющего центра на китайском рынке WoSign привела к инциденту в доменной сфере. УЦ дал доступ к SSL-сертификатам базовых доменов обычному пользователю. «Жертвами» путаницы стали Github и Университет Центральной Флориды.
Один из сотрудников организации Mozilla — Д. Маркхам сообщает, что прокол не замечали достаточно долго – с апреля 2015 г. Баг недавно обнаружил студент Университета Центральной Флориды, который хотел получить сертификат на поддомен med.ucf.edu, но упомянул и www.ucf.edu. УЦ одобрил заявку. Точно так же парень смог получить сертификаты для github.com, www.github.io и github.io.
По убеждению Д. Маркхама уязвимость заключается в том, что если пользователь подтвердит контроль над поддоменом, ему также будет выдан сертификат и для базового домена. В WoSign сразу же направили извещение об ошибке, но компания отозвала сертификат лишь для Github.
Сотрудник Mozilla делает акцент на том, что УЦ не желает либо не имеет возможность осуществить проверку базы данных с целью выявления ошибок, ведь сертификат для ucf.edu компания WoSign так и не отозвала.