✨🎱 Instagram留言 →
AI即回覆下期六合彩預測
🧠 AI 根據統計數據即時生成分析
💬 只要留言,AI就會即刻覆你心水組合
🎁 完!全!免!費!快啲嚟玩!
下期頭獎號碼
📲 去 Instagram 即刻留言
SSL.com驗證漏洞:偽造證書事件波及阿里雲,揭示自動化信任危機
致命漏洞令高危網域證書被冒領
科研人員最新揭露,一個存在於證書頒發機構SSL.com的域名驗證流程嘅關鍵漏洞,竟然容許未經授權嘅第三方成功偽造並取得多個高知名度網域(包括阿里雲 aliyun.com)的TLS安全證書!事件發生後,SSL.com已緊急註銷11個被冒領嘅證書,亦再次點燃社群對於自動化驗證系統信任危機嘅憂慮。
「域名驗證」如何畀人鑽窿?
根據Mozilla一份最新報告,事件涉及SSL.com旗下嘅「Domain Control Validation(DCV)電郵至DNS TXT Contact」驗證機制。駭客透過以下方法,可以巧妙勾過本應嚴格把關嘅程序:
1. 駭客喺一個隨機子域(例如 _validation-contactemail.[隨機字].test.dcv-inspector.com)新增一組DNS TXT記錄,記錄中填寫聲稱屬於目標網域(如 user@aliyun.com)嘅電郵地址。
2. 之後向SSL.com申請該子域的證書,流程自動觸發驗證電郵發送至上面填寫嘅目標域名郵箱。
3. 驗證流程被不正確標記為已通過,實際上卻並未真正證明申請者擁有該域名主導權。
透過上述手法,黑客得以用偽裝方式向目标公司或服務(例如阿里雲)申請到有效且全球信任的數碼證書。
受影響網域及潛在風險
被SSL.com註銷證書的著名受害網域包括:
– **aliyun.com**(阿里雲雲服務及網頁郵箱)
– ***.medinet.ca**(加拿大醫療健康服務供應商)
– **help.gurusoft.com.sg**(新加坡供應鏈科技支援)
– **banners.betvictor.com**(博彩品牌BetVictor廣告業務)
若相關證書落入不法分子手中,將可以進行釣魚仿冒、竊聽HTTPS流量或冒充合法業務進行詐騙。雖然暫時未有實際濫用個案確定,但一旦技術被惡意廣泛採用,後果嚴重。
SSL.com發言人Rebecca Kelley承認該DCV邏輯存有「錯誤執行」問題,並於意外曝光24小時內終止受影響驗證方法,以及註銷所有涉事證書。預計完整事故調查報告將於2025年5月2日前對外公布。
數據摘要:
– 被註銷證書:共11枚(2024年6月至2025年3月發行)
– 應對措施:加強驗證嚴謹度、引入人工審核等改進
CA自動化程序盲點再觸警鐘
事件曝光後,資安圈旋即討論起自動化證書頒發缺陷對全球網路安全的威脅。資安分析師Mika Chen直言:「一個驗證漏洞,就能瞬間瓦解整個網路憑證體系的信任根基。」
核心爭議與警示有:
1. **第三方郵件服務盲點**——證書機構(CA)必須明確區分「電郵網域持有權」同「網站實際控制權」,否則容易被誤導鑽窿。
2. **透明度不足**——SSL.com雖然承認疏漏,但未表明研究員以外的攻擊者有冇成功濫用漏洞。
3. **監管責任**——企業應定時查核「憑證透明度日志」(Certificate Transparency logs),以便第一時間察覺無授權證書發行。
這次SSL.com迅速撤銷證書,或能阻止短期惡意利用,但更根本的問題在於:現時CA大規模自動化頒發證書,便利性同安全性本身就勢成矛盾。只要錯漏存在,就能成為網絡犯罪分子的突破口。
記者評論與思考:「可信」系統點解一錯即失?
作為網絡資訊的「根」元素,憑證授權體系可謂現代互聯網安全的最後防線。今次事故不止影響阿里雲,還波及國際醫療、博彩、科技等多個敏感產業。其實,全球每一間銀行、電商、以至本地政府網站都要依賴類似證書管理機構去維繫信任。
然而,憑證發行機制推向自動化,背後預設系統不會出現程式疏漏——但現實係,每一次人為設計瑕疵,都有機會被自動化流程無限放大。哪怕只是1%程序設計不周,亦足以危及無數企業與用戶的個資、財產甚至聲譽。
最嚴重的啟示是:所謂「零信任」時代,機械化信任根本無法替代串聯各方的責任制。如果全球未來都靠自動化驗證、冇人審核或主動查核風險,大家即使運用再嚴密的網絡安全技術,也可能下一分鐘就被攻破。
這件事再次提醒我們,監管、透明公開和定時主動審查,永遠都唔可以缺席於任何新興自動化基建之中——「便利」與「信任」從來唔該對立,而係要兼容並蓄;否則,下次出事既可能就係任何一間本地銀行、醫院,甚至政府機構。
未來數碼身份與資訊信任體系,要靠所有持份者重新協作定義。用戶、產業與政策監管部門齊齊保持警覺,隨時檢查及問責,先至可以讓「自動化」不致演變為「失控化」。
—
