首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

微软刚刚犯了一个相当尴尬的基本安全错误

微软未能为其相当重要的网页之一更新证书,导致该网站崩溃并将人们重定向到其他地方。

被登记处发现(在新标签中打开),Windows Insider 软件测试程序的证书于 6 月 9 日星期四下午到期。

在那段时间试图访问该网站的人会收到通常的“您的连接不是私人的”消息,并且 Chrome、Firefox 或 Safari 的用户会被他们的浏览器告知(在新标签中打开)不继续。

该出版物声称,那些这样做的人被重定向到带有 302 和 307 重定向响应的主 Windows 页面,暗示该公司当时已经意识到了这个问题。

过期证书

从那时起,证书已更新,站点重新恢复运行。

时不时地,证书过期并且没有按时更新,在此过程中破坏了一些事情。2021 年 10 月,最大的非营利性证书颁发机构 (CA) 服务之一经历了来自网站的大量续订(在新标签中打开)和应用程序,导致一些知名网站出现严重中断。

由于其交叉签名的 DST Root CA X3 到期,由 Internet Security Research Group 运行的 Let's Encrypt 问题导致 Shopify 和 Slack 等网站和应用程序出现中断。当时,Let's Encrypt 在 Twitter 上建议受影响的客户咨询社区论坛,并没有承诺迅速解决问题。

一个月后,一个过期的证书影响了 Windows 11 21H2,并阻止了 Windows 用户打开某些应用程序。

早在 2020 年,过期的身份验证证书使 Microsoft Teams 有一段时间无法访问。

该出版物解释说,虽然过期的证书很麻烦,但如果它们影响根证书和 bork 服务,情况可能会更糟。Sectigo 的 AddTrust 遗留根证书就是这种情况(在新标签中打开)两年前到期时,影响了数千名客户。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20220621A02QVT00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

相关快讯

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券