Сбой в SSL.com дал пользователям доступ к сертификатам чужих доменов

В системе сертификации SSL.com нашли уязвимость, через которую можно было получить TLS-сертификат для домена, даже не владея им. Это выяснил исследователь под псевдонимом Sec Reporter — он оформил сертификат на домен Alibaba Cloud, просто указав адрес электронной почты с этим именем.

Сервер SSL.com считал, что если почтовый ящик принадлежит, например, адресу vulture@example.com, то человек автоматически имеет право запросить сертификат и на весь example.com. При этом сам домен мог вообще не принадлежать отправителю письма — главное, чтобы почта работала.

Проверка была основана на записи в DNS — туда нужно было добавить адрес электронной почты, на который приходил код подтверждения. Проблема в том, что система неверно обрабатывала эту запись и не проверяла, кому действительно принадлежит домен. В результате исследователь получил сертификаты для aliyun.com и www.aliyun.com, хотя не имел к ним никакого отношения.

После инцидента SSL.com отозвала 11 выданных сертификатов. Помимо доменов Alibaba, в список попали адреса Medinet, Gurusoft, BetVictor и ещё нескольких компаний. Пока неясно, успели ли эти сертификаты использовать в реальных атаках, но сама уязвимость открывала путь для фишинга и подмены трафика.

Метод проверки, через который случилась ошибка, временно отключили. В компании обещают до 2 мая опубликовать подробный разбор инцидента.