连日来，欧美多家大型数字证书经销商反映称，网络基础服务商、全球最大的数字证书提供商 VeriSign 最近的一次升级导致其旗 下GeoTrust 和 RapidSSL 两大品牌的 SSL 证书错误颁发，并出现严重的漏洞。

VeriSign 此次的系统升级旨在为 GeoTrust 和 RapidSSL 品牌数字证书提供自动“主题备用名称”（SANs）功能。这项功能可以帮助证书识别申请时提交的多级域名（例如Shared.hosting.com），而新升级的 VeriSign 系统则会自动将其主域名（hosting.com）作为主题备用名称登记下来。这就使颁发的证书可以同时应用在 shared.hosting.com 和 hosting.com 等多个域名上。而事实上，大量二级域名的所有者并非该域名的所有者/管理者。国际数字认证专家称这为多域名证书（SANs）的管理带来了巨大的混乱，尤其当“域名所有者只是提供给客户其主域名下的二级域名。”更重要的是，“这次的错误升级对多数网站来说没有影响，但是不排除有人利用该漏洞窃听主域名，比如说使用‘中间人攻击’（man-in-the-middle attack (MITM)）。”

据了解，VeriSign 已在3月12日正式停止在 GeoTrust 和 RapidSSL 多级域名证书的颁发。从升级开始的3月2日到3月12日之间 VeriSign 颁发的标准主域名证书依然有效。目前VeriSign并没有就这次的错误升级作出解释，其后续补救措施也未公布。但多数专家认为，最大的可能是 VeriSign 将吊销并重颁发这些有问题的证书。最受影响的用户应该尽早与 VeriSign 联系，询问具体的重颁发及赔偿等事宜。

此次升级错误波及的范围为 VeriSign 旗下的 GeoTrust 和 RapidSSL 两个品牌。其他国际品牌数字证书（例如 GlobalSign）从未出现过类似情况。目前国际较大证书提供商多数提供证书绑定多域名（SANs），这次 VeriSign 也打算将这项功能引进到 Geo Trust 和 RapidSSL，结果却因为升级错误导致了证书被非法利用的严重漏洞。  

【编辑推荐】

1. HTTPS和SSL协议存在安全漏洞
2. 你用SSL VPN要小心它仍有安全漏洞