Comodo域名验证系统存在问题导致错误的颁发了SSL证书
近期对于全球证书颁发机构来说真算是个多事之秋,来自中国的WoSign因管理问题在全球沸沸扬扬。
早些时候GlobalSign由于吊销部分证书时出现错误把很多知名网站如淘宝、京东等证书都给吊销了。
而日前Mozilla发布的报告显示Comodo的域名自动化验证过程出错,其错误的给非域名所有者签发了奥地利电信的域名SSL证书。
经过调查发现Comodo在自动化验证过程中使用OCR识别组件,而该组件错误的识别了图像中的文字。
这个错误可以让攻击者有机会利用并获取到敏感域名的SSL证书,受影响的顶级域名包括欧盟的EU、比利时的BE和奥地利的AT。
安全研究人员在今年九月份时发现并向Comodo报告了这个问题,但Comodo没有及时向国际组织汇报。
安全研究人员测试发现Comodo的OCR识别组件会将字母l
识别为数字1
、将字母o
识别为数字0
。
有意思的是Comodo或许在开发这个OCR组件时已经意识到了这个问题并设置了一些规则进行特殊处理。
当OCR组件读取l
或1
时如果字符后跟着数字则将前面识别为数字1
、若后面跟着字母则识别为l
。
研究人员注册了Alteklekom.at域名然后向Comodo申请了SSL证书,该公司的OCR组件按预期错读了Whois域名信息并将确认邮件发送到错误的地址。
最终研究人员成功的从Comodo那里获得到了奥地利电信A1-telekom.eu网站的SSL证书。
这些SSL证书则可以用来发起中间人攻击进而拦截和解密HTTPS加密的流量,给用户带来了安全隐患。
目前Comodo已经修复了这个问题,但由于Comodo没有及时向国际组织通报问题已经违反了规定。
事实上这也不是Comodo第一次错误的签发证书,该公司此前出现多次向恶意软件分销商颁发证书。