GoDaddy, de grootste domeinnaamregisterhouder ter wereld, heeft ongeveer 9.000 SSL-certificaten ingetrokken. Bij de uitgifte ervan had men verzuimd om het domein waarvoor het certificaat was bedoeld, te controleren. De certificaatautoriteit heeft dit zelf bekendgemaakt.
Het incident zou veroorzaakt zijn door een programmeerfout in het uitgiftesysteem. Minstens 6.000 klanten zijn door deze bug benadeeld. GoDaddy zegt de programmeerfout recentelijk te hebben gerepareerd.
Unieke code
Tijdens een certificaataanvraag controleert GoDaddy of de aanvrager de daadwerkelijke eigenaar van het domein is. Dit gebeurt door een unieke code naar de eigenaar te zenden, die de eigenaar op zijn webserver dient te zetten. De certificaatautoriteit checkt of de code inderdaad aanwezig is waarna tot afgifte van het certificaat wordt overgegaan. Door de bug kreeg GoDaddy een positieve melding, ook als deze code zich niet op de server bevond.
Certificaatproces
GoDaddy heeft inmiddels alle 8.951 niet-gecontroleerde certificaten ingetrokken. Voor de benadeelde klanten heeft de certificaatautoriteit ook een nieuw certificaat aangevraagd. Deze klanten dienen wel opnieuw het certificaatproces te doorlopen.