Go 证书链验证漏洞 CVE-2026-32281：大量策略映射可导致服务拒绝

Go 语言标准库的证书验证机制中发现一个潜在的服务拒绝（DoS）漏洞。当验证使用策略的证书链时，如果链中的证书包含非常大量的策略映射（policy mappings），验证过程会变得异常低效，可能消耗大量计算资源，导致服务中断。关键点在于，此漏洞仅影响对“受信任”证书链的验证——即那些由 VerifyOptions.Roots CertPool 或系统证书池中根证书颁发机构（CA）签发的证书。这意味着攻击者可能通过提交一个包含大量策略映射的、看似合法的受信任证书，来耗尽服务器的处理能力。

该漏洞被分配了编号 CVE-2026-32281，其影响范围覆盖 Go 的多个主要分支，包括 release-1.17、release-1.16 以及当前的 main 开发分支。这一发现最初通过 GitHub 的代码安全扫描工具 CodeQL（扫描ID: 2336）在 Kyverno 项目的代码仓库中被识别并上报。虽然漏洞细节在 Kyverno 的安全通告页面被引用，但其根源在于上游的 Go 语言标准库，因此所有使用受影响 Go 版本构建的、依赖 TLS/SSL 证书验证的应用程序和服务都可能面临风险。

此漏洞的性质凸显了加密基础设施中一个容易被忽视的攻击面：证书的“策略”扩展字段。通常，安全审查更关注证书的签名和密钥强度，而此类策略处理的边缘情况可能成为新的资源耗尽攻击向量。对于运营关键 TLS 服务（如 API 网关、服务网格边车或云原生控制平面）的开发者和运维团队而言，这带来了直接的安全压力。他们需要密切关注 Go 安全团队即将发布的官方补丁，并评估其系统在处理复杂证书链时的潜在性能瓶颈与受攻击可能性。