Rustls-webpki 安全漏洞：URI 名称约束被错误接受，证书验证存在缺陷

Rustls-webpki 库中发现一个关键安全漏洞，该漏洞错误地接受了本应被拒绝的 URI 名称约束。此漏洞编号为 RUSTSEC-2026-0098 和 GHSA-965h-392x-2mh5，影响版本 0.101.7。核心问题在于，库在处理 X.509 证书时，完全忽略了针对 URI 名称的约束条件，导致这些约束形同虚设，被错误地“接受”。值得注意的是，该库本身并未提供用于断言 URI 名称的 API，且 URI 名称约束功能在其他方面也尚未实现。目前，所有 URI 名称约束现已被无条件拒绝。

该漏洞的利用路径相对受限，但风险依然存在。由于名称约束是对其他方面已正确签发的证书施加的限制，因此只有在签名验证通过后，此漏洞才可能被触及。这意味着，攻击者需要先获得一个被错误签发（misissued）的证书，才能利用此缺陷绕过预期的 URI 访问限制。这凸显了证书颁发机构（CA）操作严谨性的重要性，以及下游库必须正确实施所有验证规则的必要性。

此漏洞已由安全研究员 @1seal 报告并得到确认。维护团队已迅速响应，发布了修复版本。用户必须立即将 rustls-webpki 升级到已修补的版本：>=0.103.12 且 <0.104.0-alpha.1，或 >=0.104.0-alpha.6。对于依赖 Rustls 栈进行安全通信（如 TLS 连接）的应用程序和服务而言，及时应用此补丁至关重要，以防止潜在的证书验证绕过风险，确保通信的完整性和访问控制的有效性。