SSL.com 域名控制驗證漏洞:近乎十張數位證書被錯誤發出
一個域名控制驗證(DCV)漏洞導致 SSL.com 錯誤地發出了近乎十張數位證書,涉及七個合法域名。該漏洞被一名研究人員發現並報告,該人員濫用了該漏洞,為阿里雲(Alibaba Cloud)的官方網站 aliyun.com 獲得了偽造的證書。
研究人員在錯誤報告中指出,“SSL.com 在使用 BR 3.2.2.4.14 DCV 方法(電子郵件至 DNS TXT 聯繫方式)時,未能進行準確的域名驗證控制。它錯誤地將驗證人員的電子郵件地址的主機名標記為已驗證的域名,這是完全錯誤的。”
為了獲得偽造的證書,研究人員創建了一個測試域名的 `_validation-contactemail` DNS TXT 記錄,使用了 @aliyun.com 的電子郵件地址,然後向 SSL.com 請求該域名的證書,從電子郵件驗證人員列表中選擇了該電子郵件地址。
在研究人員使用發送到指定電子郵件地址的 DCV 隨機值完成 DCV 驗證過程後,SSL.com 將 aliyun.com 添加到了研究人員的已驗證域名列表中,允許他們為 aliyun.com 和 www.aliyun.com 獲得證書。
“我不是 aliyun.com 的管理員、admin、hostmaster、postmaster 或 webmaster。同時,_validation-contactemail 及其電子郵件值從未為 aliyun.com 配置過,”研究人員指出。
SSL.com 對錯誤報告做出了回應,立即禁用了研究人員使用的域名驗證方法。周一,該公司透露,DCV 方法的錯誤實施導致了驗證人員電子郵件地址的主機名的證書被錯誤發出。
“該證書已經被吊銷,相關的 DCV 記錄已經失效,DCV 方法已經被禁用,直到問題得到解決。在掃描使用上述方法發出的所有證書後,我們發現了另外 10 張受影響的證書,它們被錯誤發出,現在已經被吊銷,”SSL.com 表示。
除了 aliyun.com 之外, 從 2024 年 6 月開始,證書還被錯誤發出給了 *.medinet.ca、help.gurusoft.com.sg、banners.betvictor.com、production-boomi.3day.com、kisales.com 和 medc.kisales.com。
“在我們的調查中,我們確定這並未影響 Entrust 使用的系統和 API。SSL.com 將在繼續調查的同時,與社區保持透明,並在完成根本原因分析後提供更多信息,”SSL.com 表示。
作為編輯,我認為這個漏洞的出現,凸顯了域名控制驗證(DCV)在數位證書發放過程中的重要性。DCV 方法的缺陷使得攻擊者可以偽造證書,進而對網站和用戶的安全造成潛在威脅。SSL.com 的快速回應和透明度值得肯定,但同時也需要進一步的調查和改進,以防止類似事件的再次發生。
此外,這個事件也提醒了我們,在數位證書的管理和驗證過程中,需要加強安全措施和審核流程,以確保證書的真實性和有效性。同時,用戶也需要提高警惕,及時檢查網站證書的有效性,以保護自身的安全。
總的來說,這個漏洞的出現和解決過程,給我們提供了寶貴的經驗和教訓,提醒我們在網路安全領域,持續的警惕和改進是必不可少的。
, 今日有咩可以幫到你? 