蓝点网
给你感兴趣的内容!

Comodo 域名验证系统存在问题导致错误的颁发了 SSL 证书

近期对于全球证书颁发机构来说真算是个多事之秋,来自中国的 WoSign 因管理问题在全球沸沸扬扬。

早些时候 GlobalSign 由于吊销部分证书时出现错误把很多知名网站如淘宝、京东等证书都给吊销了。

而日前 Mozilla 发布的报告显示 Comodo 的域名自动化验证过程出错,其错误的给非域名所有者签发了奥地利电信的域名 SSL 证书。

经过调查发现 Comodo 在自动化验证过程中使用 OCR 识别组件,而该组件错误的识别了图像中的文字。

这个错误可以让攻击者有机会利用并获取到敏感域名的 SSL 证书,受影响的顶级域名包括欧盟的 EU、比利时的 BE 和奥地利的 AT。

Comodo域名验证系统存在问题导致错误的颁发了SSL证书

安全研究人员在今年九月份时发现并向 Comodo 报告了这个问题,但 Comodo 没有及时向国际组织汇报。

安全研究人员测试发现 Comodo 的 OCR 识别组件会将字母 l 识别为数字 1、将字母 o 识别为数字 0

有意思的是 Comodo 或许在开发这个 OCR 组件时已经意识到了这个问题并设置了一些规则进行特殊处理。

当 OCR 组件读取 l1 时如果字符后跟着数字则将前面识别为数字 1、若后面跟着字母则识别为 l

研究人员注册了 Alteklekom.at 域名然后向 Comodo 申请了 SSL 证书,该公司的 OCR 组件按预期错读了 Whois 域名信息并将确认邮件发送到错误的地址。

最终研究人员成功的从 Comodo 那里获得到了奥地利电信 A1-telekom.eu 网站的 SSL 证书。

这些 SSL 证书则可以用来发起中间人攻击进而拦截和解密 HTTPS 加密的流量,给用户带来了安全隐患。

目前 Comodo 已经修复了这个问题,但由于 Comodo 没有及时向国际组织通报问题已经违反了规定。

事实上这也不是 Comodo 第一次错误的签发证书,该公司此前出现多次向恶意软件分销商颁发证书。

转载请注明来源于蓝点网及本文链接:蓝点网 » Comodo 域名验证系统存在问题导致错误的颁发了 SSL 证书
分享到: (0)
以下评论内容由网友保留所有权,除非特别注明否则所有评论均不代表本站观点!

评论 2

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #1
    Google Chrome 53.0.2785.116 Google Chrome 53.0.2785.116 Windows 10 x64 Edition Windows 10 x64 Edition

    鸭子哥!!MD 说好的家庭私有云的文章呢!

    kalen24824个月前 (10-25)回复
    • Google Chrome 54.0.2840.71 Google Chrome 54.0.2840.71 Windows 10 x64 Edition Windows 10 x64 Edition

      发了啊 只不过内容比较多 需要查找的东西太多了 所以时间长了点 没超过 12 点~~~~

      山外的鸭子哥4个月前 (10-25)回复