漏洞獵人五步騙過 SSL.com 獲發阿里雲域名證書
SSL.com 作為數碼證書發行商,最近被揭發其域名驗證系統存在嚴重漏洞,被黑客利用,無需授權就能為真實網站取得數碼證書。
這些被非法取得的證書,讓不法分子可以建立更具說服力的釣魚網站,甚至攔截及解密 HTTPS 流量,嚴重威脅網絡安全。自從發現漏洞後,SSL.com 已經撤銷了 11 張錯誤發出的證書,其中一張正是阿里巴巴旗下的阿里雲域名。
漏洞成因:DNS TXT 記錄驗證設計失誤
事件的核心問題相當簡單:在驗證你是否擁有某個域名時,SSL.com 允許你在該域名下新增一條名為 `_validation-contactemail` 的 DNS TXT 記錄,內容是一個聯絡電郵地址。
當這條記錄出現後,你再向 SSL.com 申請該域名的證書,系統會發一封包含驗證碼及連結的電郵到你填寫的地址。你只要點擊連結並輸入驗證碼,就能通過驗證,獲得該網站的證書。
但由於實作出錯,SSL.com 竟然會將你填寫的聯絡電郵地址的網域(即 @ 後面的部分)當成你擁有的域名。舉例:你填 vulture@example.com,只要你能收到這個電郵並完成驗證,SSL.com 就會當你是 example.com 的擁有者,無論你原本想驗證哪個域名。
如果你將 example.com 換成知名電郵供應商,情況就變得極危險。
漏洞被公開測試 證實可獲阿里雲證書
根據名為 “Sec Reporter” 的安全研究員在 Mozilla Bugzilla 上的報告,他實測發現,只要在驗證時填寫一個 @aliyun.com 的電郵地址,就能成功獲得 aliyun.com 及 www.aliyun.com 的證書——而這正是中國互聯網巨頭阿里巴巴的雲端及電郵服務。
這種錯誤的驗證邏輯,意味著任何人只要識破這個漏洞,都可以為別人網站申請 TLS 證書,進行網站偽冒、中間人攻擊、釣魚等惡意行為。
SSL.com 已經撤銷了 11 張透過這個漏洞發出的證書。除了阿里雲,還包括:
– *.medinet.ca:加拿大醫療軟件及服務供應商(2024年6月發出)
– help.gurusoft.com.sg(兩張):新加坡供應鏈科技公司支援網站(2025年1月發出)
– banners.betvictor.com:博彩網站 BetVictor 的廣告域名(2025年1月發出)
– production-boomi.3day.com:窗簾製造商(2025年3月發出)
– kisales.com 及 medc.kisales.com(共 4 張):暫未確定背景(2025年3月發出)
需要留意,這些證書未必全部是被惡意取得,但因為是錯誤驗證產物,出於安全起見都必須撤銷。
官方回應:即時停用漏洞驗證方式
SSL.com 技術合規主管 Rebecca Kelley 在初步事故報告中確認,問題出自其「電郵至 DNS TXT 聯絡人」這個 DCV(Domain Control Validation)方法的錯誤實作。現時這個驗證方法已經停用,待修正後才會重新啟用,並承諾最遲於 5 月 2 日前交代完整事故報告。
研究員「五步」重現攻擊過程
Sec Reporter 詳細列出利用這個漏洞的步驟:
1. 前往 https://dcv-inspector.com,點擊「Start Test」。
2. 為指定測試域名新增 TXT 記錄,內容設為 myusername@aliyun.com。
3. 到 SSL.com 申請該測試域名的證書,選擇 myusername@aliyun.com 作為驗證電郵。
4. 登入 myusername@aliyun.com,取得驗證電郵及隨機碼,完成驗證流程。
5. SSL.com 會將 aliyun.com 加入你的已驗證域名清單。
6. 你就可以直接申請 aliyun.com 及 www.aliyun.com 的證書。
研究員強調,他並非阿里雲的管理員、主機管理員或網管,該域名本身亦無設定任何 _validation-contactemail 記錄,證明這種行為完全不合理。
SSL.com 對研究員表示感謝,並稱「正以最高優先處理此事件」。
編輯評論:信任機制的脆弱與證書體系的危機
這宗事件再次暴露了網絡信任機制的根本脆弱。數碼證書體系本來是用來建立互聯網信任基礎,但只要驗證流程出現一個細微錯誤,整個體系就會被徹底顛覆。今次漏洞不但影響大型企業如阿里雲,還波及醫療、博彩、供應鏈等多個行業,證明網絡安全從來不是「大機構才要擔心」的問題。
更值得深思的是,現時很多人對 SSL/TLS 證書的信任,已經變成一種「形式主義」——只要瀏覽器顯示安全鎖,大家就會掉以輕心。這次事件提醒我們,即使是全球知名的證書機構,也難保不會出現極低級的設計失誤,結果令黑客輕易取得本應「高度安全」的證書。
在全球推動證書週期縮短、驗證機制日益複雜的今天,這類漏洞反映出業界對安全流程的自滿與疏忽。未來,證書體系是否需要更嚴格、更多重的驗證(如多因素認證、實體審查等)?還是應該推動去中心化的信任機制,減少對單一機構的依賴?這些都是值得香港甚至全球網絡業界深思的問題。
最後,這件事亦提醒所有網站管理員,切勿對供應商的安全流程掉以輕心,必須主動監察自己域名的證書發行情況,及早發現異常,才能真正保障用戶安全。
