Китайский удостоверяющий центр WoSign, который занимается выдачей бесплатных SSL-сертификатов, ошибочно выдал обычному пользователю сертификаты для базовых доменов Github и Университета Центральной Флориды.
Как утверждает сотрудник Mozilla Джерваз Маркхэм, это произошло в апреле минувшего года, но компания узнала об ошибке лишь сейчас. Уязвимость была выявлена студентом Университета Центральной Флориды. Он отправил запрос на сертификат для ресурса med.ucf.edu, в который по случайности включил еще один сайт: www.ucf.edu. Центр WoSign выдал запрошенные сертификаты. Кроме того, студент получил сертификаты для сайтов github.com, github.io и www.github.io.
По словам Маркхэма, у заявителя, который может подтвердить контроль над поддоменом, есть возможность получить бесплатный SSL-сертификат для базового домена. Информация об ошибке была немедленно отправлена в WoSign, но сотрудники центра отозвали лишь сертификат для Github.
Сертификат, выданный для ucf.edu, так и не отозвали. Как отметил Маркхэм, это является свидетельством отсутствия возможности либо нежелания WoSign проверять базы данных на предмет таких ошибок.