另外 10 个证书“被错误颁发,现已撤销”
证书颁发机构 SSL.com 的域名验证系统存在一个不幸的错误,该错误被不法分子利用,未经授权就为合法网站获取了数字证书。
有了这些证书,这些欺诈者就可以设置更具说服力的恶意网站副本,用于诸如凭证网络钓鱼之类的活动,或者解密这些网站与其访问者之间截获的 HTTPS 流量。
自从得知这一漏洞以来,SSL.com 已经撤销了 11 份错误颁发的证书——其中一份是阿里巴巴的。
这个漏洞看起来很简单:作为验证您控制域名过程的一部分——从而允许您获得该域名的 TLS 证书,以便它可以(例如)支持与访问者之间的加密 HTTPS 连接——SSL.com 允许您选择为该域创建一个 _validation-contactemail
DNS TXT 记录,其值设置为联系电子邮件地址。
一旦该 DNS TXT 记录存在,并且您为该域请求证书,SSL.com 就会向该联系地址发送一封包含代码和 URL 的电子邮件。您点击链接并输入代码,以证明您是该域的控制者,并且可以为您的网站获取证书。
遗憾的是,由于一个有缺陷的实现,SSL.com 现在也会认为您是用于联系电子邮件的域的所有者。如果您输入 [email protected],只要您能够接收发送到该地址的邮件并点击链接,SSL.com 就会很乐意为您颁发 example.com 的证书。您实际上试图验证所有权的域是什么并不重要。
将 example.com 替换为网络邮件提供商,突然间这变成了一种有点可怕的情况。
正如一位使用“Sec Reporter”句柄的人在周五发布的错误报告中所指出的,当 SSL.com 收到颁发证书的请求时,在域验证过程中,它“错误地将批准者电子邮件地址的主机名标记为已验证的域”。
安全报告员演示了为随机域名提供一个@aliyun.com 电子邮件地址是可能的,并且可以为 aliyun.com 和 www.aliyun.com 颁发证书——这是中国互联网巨头阿里巴巴运营的 Webmail 和公共云服务。
SSL.com 对此事的处理不当令人担忧,因为它意味着任何注意到有缺陷的 DNS 记录验证过程的人都可以请求并获得针对他人网站的 TLS 证书。这些证书可用于欺骗合法网站,并实现中间人攻击、网络钓鱼等。
SSL.com 现已撤销了通过此有缺陷的验证逻辑颁发的 11 个证书。其中一个用于 aliyun.com,由研究人员获得以演示安全漏洞。其他的呢?SSL.com 没有透露谁获得了这些证书,但列出了它们如下:
-
*.medinet.ca:加拿大医疗保健软件和服务提供商。颁发于 2024 年 6 月。 -
help.gurusoft.com.sg (两次): 新加坡供应链技术公司的支持网站。2025 年 1 月签发。 -
banners.betvictor.com: 可能是赌博网站 BetVictor 的广告域名。2025 年 1 月签发。 -
production-boomi.3day.com: 窗帘制造商。2025 年 3 月签发。 -
kisales.com 和 medc.kisales.com (总共四次): 我们目前不确定这个。2025 年 3 月签发。
重要的是要注意,为这些域名创建的证书可能并非恶意获取;我们所知道的只是它们是通过有缺陷的验证系统颁发的,这意味着需要作为预防措施撤销它们。
在周一发布的一份初步事件报告中,SSL.com 技术合规官 Rebecca Kelley 证实其域名控制验证 (DCV) 方法之一存在缺陷。
"SSL.com CP/CPS 第 3.2.2.4.14 节(电子邮件到 DNS TXT 联系人)中指定的 DCV 方法的错误实现,导致向批准人电子邮件地址的主机名错误颁发证书," Kelley 在 Mozilla 的 Bugzilla 数据库中声明。
该特定的 DCV 流程——有其他验证域的方法——已被禁用,直到 SSL.com 修复该缺陷。该公司承诺在 5 月 2 日或之前发布完整的事件报告。
以下是 Sec Reporter 为了利用域名验证疏忽而给出的五个步骤,外加一个初始设置阶段:
-
导航到 https://dcv-inspector.com 并点击“开始测试”。您将被重定向到一个 URL,例如 https://dcv-inspector.com/test/d2b4eee07de5efcb8598f0586cbf2690。
-
为域名 _validation-contactemail.d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com 创建一个 TXT 记录,其值为 [email protected]。在这里,aliyun.com 既是云服务提供商,也是电子邮件提供商,类似于 @Yahoo.com 或 @iCloud.com。
-
访问 SSL.com 并为域名 d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com 申请证书。然后,从邮件审批人列表中选择 [email protected]。
-
登录 [email protected],检索包含 DCV 随机值的电子邮件,并完成 DCV 验证过程。
-
SSL.com 将把电子邮件地址的域名(在本例中为 @ 之后的 aliyun.com 部分)添加到您的已验证域名列表中。
-
要获取 aliyun.com 和 www.aliyun.com 的证书,请发起证书请求。
正如他们在文章中所指出的,该研究人员不是 aliyun.com 的管理员、主机管理员或网站管理员,并且该域名的 _validation-contactemail 根本没有配置。“所以,这是错误的,”这位漏洞猎人总结道。
SSL.com 感谢了这位研究人员,并承诺将“以最优先的优先级处理这一事件”。
详情见:https://bugzilla.mozilla.org/show_bug.cgi?id=1961406
原文始发于微信公众号(独眼情报):白帽子通过 5 个步骤诱使 SSL.com 为阿里巴巴云域名颁发证书
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论