攻击者可利用SSL.com漏洞颁发伪造证书!

2025年4月27日

最近,研究人员Sec Reporter(化名)揭露了SSL.com在域名验证过程中的漏洞。他在BugZilla帖子中指出,“SSL.com在使用BR 3.2.2.4.14 DCV方法(通过电子邮件到DNS TXT记录来验证域名)时,未能严格执行验证流程。结果,它错误地将批准者的电子邮件地址中的域名部分标记为已经验证的域名,这是完全错误的。”

SSL

据悉,SSL.com是一个广泛信任的证书颁发机构(CA),负责为网站颁发SSL证书,确保用户与网站之间的通信安全。然而,若CA未能正确验证域名的所有权,就可能导致伪造证书的出现,进而引发域名冒充、数据窃取、中间人攻击,甚至是钓鱼攻击。

一、域名验证漏洞如何发生

SSL.com提供一个功能,允许用户通过创建一个特殊的DNS TXT记录来证明自己控制某个域名,从而获得SSL证书,此过程本应要求用户提供一个接收验证电子邮件的邮箱地址。

理论上,只有域名的实际拥有者才能创建这个记录并接收到验证邮件。但在这次事件中,SSL.com错误地只检查了邮箱地址中的域名部分,而忽略了邮箱用户是否真正控制了该域名。

举个例子,Sec Reporter提交了一个邮箱地址:admin@aliyun.com,SSL.com错误地认为这意味着他们控制了aliyun.com,进而错误地为aliyun.com以及其子域名颁发了证书。

这一漏洞特别危险,因为攻击者不需要完全控制一个网站即可获得一个看似合法的证书,只要某个员工的电子邮件地址,甚至是与该域名关联的免费电子邮件地址,就足够了。

二、受影响的证书

SSL.com撤销了多个域名的证书,包括:

•aliyun.com(阿里云的电子邮件和云服务)

•*.medinet.ca(加拿大医疗软件提供商)

•help.gurusoft.com.sg(新加坡供应链技术支持)

•banners.betvictor.com(BetVictor广告)

这些证书本有可能被用于创建虚假的钓鱼网站、拦截HTTPS流量或伪装成合法服务。

尽管目前尚未确认是否有恶意使用,但这一漏洞的滥用潜力依然不可小觑。

三、SSL.com的回应

Sec Reporter揭示这一漏洞后,SSL.com迅速做出反应,确认问题并采取了措施。

“SSL.com确认了这个漏洞报告,我们正在进一步调查,”SSL.com的技术项目经理Rebecca Kelly在报告中表示,并随后补充道,“出于谨慎考虑,我们已禁用漏洞报告中使用的3.2.2.4.14域验证方法,暂停所有SSL/TLS证书的使用,直到我们进一步调查清楚。”

在漏洞报告的评论部分附带的初步事件报告中,透露共有10个证书是通过该有缺陷的方法错误颁发的,并且已经被撤销。Kelly补充道,经过调查,除一个证书外,其他错误颁发的证书都被发现并非恶意伪造。

四、关键措施

•撤销证书:共计11个证书,颁发时间为2024年6月至2025年3月。

•信息披露:完整事件报告预计于2025年5月2日发布。

•缓解措施:增强验证检查和手动审核。

这一事件再次提醒我们,在数字安全领域,细节至关重要。为了减少类似事件的发生,组织应加强对证书透明度日志(CT)的监控,及时发现任何未经授权的证书颁发行为。如果发现异常,应立刻采取措施,防止潜在的安全风险。

 

图源|Gorodenkoff / Shutterstock

编辑|公钥密码开放社区

免责声明

1、本文部分内容来源于网络,不代表本网站立场。本网站对上述信息的来源、准确性及完整性不作任何保证。在任何情况下,本文信息仅作参考。

2、文章重在分享,如有原创声明和侵权,请及时联系本站,我们将在24小时之内对稿件作删除处理。

SSL证书品牌

相关文章
SSL证书
Copyright©2005-2025 SSL证书申请指南网.保留所有权利 备案号:皖B2-20140010 ICP编号:皖B2-20140010
皖公网安备 34010402700190号

LAYOUT

SAMPLE COLOR

Please read our documentation file to know how to change colors as you want

BACKGROUND COLOR

BACKGROUND TEXTURE

// //