白帽子通过 5 个步骤诱使 SSL.com 为阿里巴巴云域名颁发证书

另外 10 个证书“被错误颁发，现已撤销”

证书颁发机构 SSL.com 的域名验证系统存在一个不幸的错误，该错误被不法分子利用，未经授权就为合法网站获取了数字证书。

有了这些证书，这些欺诈者就可以设置更具说服力的恶意网站副本，用于诸如凭证网络钓鱼之类的活动，或者解密这些网站与其访问者之间截获的 HTTPS 流量。

自从得知这一漏洞以来，SSL.com 已经撤销了 11 份错误颁发的证书——其中一份是阿里巴巴的。

这个漏洞看起来很简单：作为验证您控制域名过程的一部分——从而允许您获得该域名的 TLS 证书，以便它可以（例如）支持与访问者之间的加密 HTTPS 连接——SSL.com 允许您选择为该域创建一个 _validation-contactemail DNS TXT 记录，其值设置为联系电子邮件地址。

一旦该 DNS TXT 记录存在，并且您为该域请求证书，SSL.com 就会向该联系地址发送一封包含代码和 URL 的电子邮件。您点击链接并输入代码，以证明您是该域的控制者，并且可以为您的网站获取证书。

遗憾的是，由于一个有缺陷的实现，SSL.com 现在也会认为您是用于联系电子邮件的域的所有者。如果您输入 [email protected]，只要您能够接收发送到该地址的邮件并点击链接，SSL.com 就会很乐意为您颁发 example.com 的证书。您实际上试图验证所有权的域是什么并不重要。

将 example.com 替换为网络邮件提供商，突然间这变成了一种有点可怕的情况。

正如一位使用“Sec Reporter”句柄的人在周五发布的错误报告中所指出的，当 SSL.com 收到颁发证书的请求时，在域验证过程中，它“错误地将批准者电子邮件地址的主机名标记为已验证的域”。

安全报告员演示了为随机域名提供一个@aliyun.com 电子邮件地址是可能的，并且可以为 aliyun.com 和 www.aliyun.com 颁发证书——这是中国互联网巨头阿里巴巴运营的 Webmail 和公共云服务。

SSL.com 对此事的处理不当令人担忧，因为它意味着任何注意到有缺陷的 DNS 记录验证过程的人都可以请求并获得针对他人网站的 TLS 证书。这些证书可用于欺骗合法网站，并实现中间人攻击、网络钓鱼等。

SSL.com 现已撤销了通过此有缺陷的验证逻辑颁发的 11 个证书。其中一个用于 aliyun.com，由研究人员获得以演示安全漏洞。其他的呢？SSL.com 没有透露谁获得了这些证书，但列出了它们如下：

• *.medinet.ca：加拿大医疗保健软件和服务提供商。颁发于 2024 年 6 月。
• help.gurusoft.com.sg (两次): 新加坡供应链技术公司的支持网站。2025 年 1 月签发。
• banners.betvictor.com: 可能是赌博网站 BetVictor 的广告域名。2025 年 1 月签发。
• production-boomi.3day.com: 窗帘制造商。2025 年 3 月签发。
• kisales.com 和 medc.kisales.com (总共四次): 我们目前不确定这个。2025 年 3 月签发。

重要的是要注意，为这些域名创建的证书可能并非恶意获取；我们所知道的只是它们是通过有缺陷的验证系统颁发的，这意味着需要作为预防措施撤销它们。

在周一发布的一份初步事件报告中，SSL.com 技术合规官 Rebecca Kelley 证实其域名控制验证 (DCV) 方法之一存在缺陷。

"SSL.com CP/CPS 第 3.2.2.4.14 节（电子邮件到 DNS TXT 联系人）中指定的 DCV 方法的错误实现，导致向批准人电子邮件地址的主机名错误颁发证书，" Kelley 在 Mozilla 的 Bugzilla 数据库中声明。

该特定的 DCV 流程——有其他验证域的方法——已被禁用，直到 SSL.com 修复该缺陷。该公司承诺在 5 月 2 日或之前发布完整的事件报告。

以下是 Sec Reporter 为了利用域名验证疏忽而给出的五个步骤，外加一个初始设置阶段：

1. 导航到 https://dcv-inspector.com 并点击“开始测试”。您将被重定向到一个 URL，例如 https://dcv-inspector.com/test/d2b4eee07de5efcb8598f0586cbf2690。

2. 为域名 _validation-contactemail.d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com 创建一个 TXT 记录，其值为 [email protected]。在这里，aliyun.com 既是云服务提供商，也是电子邮件提供商，类似于 @Yahoo.com 或 @iCloud.com。

3. 访问 SSL.com 并为域名 d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com 申请证书。然后，从邮件审批人列表中选择 [email protected]。

4. 登录 [email protected]，检索包含 DCV 随机值的电子邮件，并完成 DCV 验证过程。

5. SSL.com 将把电子邮件地址的域名（在本例中为 @ 之后的 aliyun.com 部分）添加到您的已验证域名列表中。

6. 要获取 aliyun.com 和 www.aliyun.com 的证书，请发起证书请求。

正如他们在文章中所指出的，该研究人员不是 aliyun.com 的管理员、主机管理员或网站管理员，并且该域名的 _validation-contactemail 根本没有配置。“所以，这是错误的，”这位漏洞猎人总结道。

SSL.com 感谢了这位研究人员，并承诺将“以最优先的优先级处理这一事件”。

详情见：https://bugzilla.mozilla.org/show_bug.cgi?id=1961406