蓝点网
给你感兴趣的内容!

Comodo域名验证系统存在问题导致错误的颁发了SSL证书

近期对于全球证书颁发机构来说真算是个多事之秋,来自中国的WoSign因管理问题在全球沸沸扬扬。

早些时候GlobalSign由于吊销部分证书时出现错误把很多知名网站如淘宝、京东等证书都给吊销了。

而日前Mozilla发布的报告显示Comodo的域名自动化验证过程出错,其错误的给非域名所有者签发了奥地利电信的域名SSL证书。

经过调查发现Comodo在自动化验证过程中使用OCR识别组件,而该组件错误的识别了图像中的文字。

这个错误可以让攻击者有机会利用并获取到敏感域名的SSL证书,受影响的顶级域名包括欧盟的EU、比利时的BE和奥地利的AT。

Comodo域名验证系统存在问题导致错误的颁发了SSL证书

安全研究人员在今年九月份时发现并向Comodo报告了这个问题,但Comodo没有及时向国际组织汇报。

安全研究人员测试发现Comodo的OCR识别组件会将字母l识别为数字1、将字母o识别为数字0

有意思的是Comodo或许在开发这个OCR组件时已经意识到了这个问题并设置了一些规则进行特殊处理。

当OCR组件读取l1时如果字符后跟着数字则将前面识别为数字1、若后面跟着字母则识别为l

研究人员注册了Alteklekom.at域名然后向Comodo申请了SSL证书,该公司的OCR组件按预期错读了Whois域名信息并将确认邮件发送到错误的地址。

最终研究人员成功的从Comodo那里获得到了奥地利电信A1-telekom.eu网站的SSL证书。

这些SSL证书则可以用来发起中间人攻击进而拦截和解密HTTPS加密的流量,给用户带来了安全隐患。

目前Comodo已经修复了这个问题,但由于Comodo没有及时向国际组织通报问题已经违反了规定。

事实上这也不是Comodo第一次错误的签发证书,该公司此前出现多次向恶意软件分销商颁发证书。

转载请注明来源于蓝点网及本文链接:蓝点网 » Comodo域名验证系统存在问题导致错误的颁发了SSL证书
分享到:更多 ()
以下评论内容由网友保留所有权,除非特别注明否则所有评论均不代表本站观点!

评论 2

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #1
    Google Chrome 53.0.2785.116 Google Chrome 53.0.2785.116 Windows 10 x64 Edition Windows 10 x64 Edition

    鸭子哥!!MD说好的家庭私有云的文章呢!

    kalen24821个月前 (10-25)回复
    • Google Chrome 54.0.2840.71 Google Chrome 54.0.2840.71 Windows 10 x64 Edition Windows 10 x64 Edition

      发了啊 只不过内容比较多 需要查找的东西太多了 所以时间长了点 没超过12点~~~~

      山外的鸭子哥1个月前 (10-25)回复