欢迎来到公海710 ADC 通配符证书列表，您应该担心吗？

最近，一篇文章引用了可能遭到泄露的通配符证书名称列表，并将其上传到 GitHub。  该列表非常庞大：来自全球各地的 12000 多个通配符地址被暴露。但该列表的含义是什么？您应该做什么？

以下是我们对相关列表的了解：

• 不再通过 GitHub 提供。
• 该列表是在 1 月 9 日至 1 月 10 日期间通过自动扫描生成的。
• 该列表代表可能暴露但不一定受到损害的通配符证书。

根据我们对事件时间线的了解，您的组织很可能在生成此列表后不久、各种漏洞扫描程序暴露漏洞之前运行了修复步骤。不过，出于谨慎考虑，您的组织应考虑重新颁发通配符证书。这可能是一项艰巨的任务，因为通配符证书是管理整个组织证书的一种简单方法，并且可以进入几乎所有服务。

Alchemy 对于在 ADC 上重新颁发和更换证书的建议如下：

• 在您选择的平台上生成新的通配符证书签名请求 (CSR)。
• 联系您的证书提供商，使用新的 CSR 重新颁发证书。 颁发新证书时不要吊销被替换的证书，这一点很重要，否则 ADC 外部的服务可能会失败。
• 导入证书（以及完成证书链所需的任何中间体）。
• 解除现有通配符密钥对的绑定，并将新通配符密钥对绑定到使用可能暴露的证书的任何服务。
• 测试 ADC 之外的剩余服务并将其迁移到新的通配符证书。
• 撤销可能暴露的证书。

一如既往，我们的炼金术士随时为您提供帮助。请通过以下方式联系我们[电子邮件受保护]或尽快联系您的 Alchemy 销售代表。

参考链接：

列表的原始链接（现已失效）–https://github.com/tijlvdb/wildcarded-citrix-2020/blob/master/expose_wildcards.txt

有关相关列表的 Reddit 评论 –https://www.reddit.com/r/Citrix/comments/ey93oi/expose_wildcard_certificates_citrix_netscaler/fgkgxlf?utm_source=share&utm_medium=web2x

时间线数据和补救步骤 –https://www.poppelgaard.com/cve-2019-19781-what-you-should-know-and-how-to-fix-your-citrix-adc-access-gateway