最近,研究人员 Sec Reporter(化名)揭露了SSL.com 在域名验证过程中的漏洞。他在 BugZilla 帖子中指出,“ SSL.com 在使用 BR 3.2.2.4.14 DCV 方法(通过电子邮件到 DNS TXT 记录来验证域名)时,未能严格执行验证流程。结果,它错误地将批准者的电子邮件地址中的域名部分标记为已经验证的域名,这是完全错误的。”
据悉,SSL.com 是一个广泛信任的证书颁发机构(CA),负责为网站颁发 SSL 证书,确保用户与网站之间的通信安全。然而,若 CA 未能正确验证域名的所有权,就可能导致伪造证书的出现,进而引发域名冒充、数据窃取、中间人攻击,甚至是钓鱼攻击。
域名验证漏洞如何发生?
SSL.com 提供一个功能,允许用户通过创建一个特殊的 DNS TXT 记录来证明自己控制某个域名,从而获得 SSL 证书,此过程本应要求用户提供一个接收验证电子邮件的邮箱地址。
理论上,只有域名的实际拥有者(如 xyz@example.com )才能创建这个记录并接收到验证邮件。但在这次事件中,SSL.com 错误地只检查了邮箱地址中的域名部分(例如 example.com),而忽略了邮箱用户是否真正控制了该域名。
举个例子,Sec Reporter 提交了一个邮箱地址:admin@aliyun.com,SSL.com 错误地认为这意味着他们控制了 aliyun.com,进而错误地为 aliyun.com 以及其子域名(如 www.aliyun.com)颁发了证书。
这一漏洞特别危险,因为攻击者不需要完全控制一个网站即可获得一个看似合法的证书,只要某个员工的电子邮件地址,甚至是与该域名关联的免费电子邮件地址,就足够了。
受影响的证书
SSL.com撤销了多个域名的证书,包括:
•aliyun.com(阿里云的电子邮件和云服务)
•*.medinet.ca(加拿大医疗软件提供商)
•help.gurusoft.com.sg(新加坡供应链技术支持)
•banners.betvictor.com(BetVictor广告)
这些证书本有可能被用于创建虚假的钓鱼网站、拦截 HTTPS 流量或伪装成合法服务。
尽管目前尚未确认是否有恶意使用,但这一漏洞的滥用潜力依然不可小觑。
SSL.com的回应
Sec Reporter 揭示这一漏洞后,SSL.com 迅速做出反应,确认问题并采取了措施。
“ SSL.com 确认了这个漏洞报告,我们正在进一步调查,” SSL.com 的技术项目经理 Rebecca Kelly 在报告中表示,并随后补充道,“出于谨慎考虑,我们已禁用漏洞报告中使用的 3.2.2.4.14 域验证方法,暂停所有 SSL/TLS 证书的使用,直到我们进一步调查清楚。”
在漏洞报告的评论部分附带的初步事件报告中,透露共有 10 个证书是通过该有缺陷的方法错误颁发的,并且已经被撤销。Kelly 补充道,经过调查,除一个证书外,其他错误颁发的证书都被发现并非恶意伪造。
关键措施
•撤销证书:共计11个证书,颁发时间为2024年6月至2025年3月。
•信息披露:完整事件报告预计于2025年5月2日发布。
•缓解措施:增强验证检查和手动审核。
这一事件再次提醒我们,在数字安全领域,细节至关重要。为了减少类似事件的发生,组织应加强对证书透明度日志(CT)的监控,及时发现任何未经授权的证书颁发行为。如果发现异常,应立刻采取措施,防止潜在的安全风险。
来源:公钥密码开放社区
领取优惠
提交成功!