В системе сертификации SSL.com была обнаружена уязвимость, которая позволяла оформить TLS-сертификат на чужой домен без подтверждения прав владения. В ходе эксперимента он успешно получил сертификат для домена Alibaba Cloud, указав лишь электронную почту с этим именем.
Проблема заключалась в логике валидации: сервер SSL.com считал, что если пользователь контролирует почтовый ящик, например, vulture@example.com, то он вправе запросить сертификат на весь домен example.com. При этом фактическая принадлежность домена не проверялась — достаточно было, чтобы указанная почта принимала письма.
Система основывалась на проверке DNS-записи, куда добавлялся e-mail для получения кода подтверждения. Однако механизм некорректно интерпретировал эти данные, в результате чего исследователь получил сертификаты на домены aliyun.com и www.aliyun.com, не имея к ним никакого отношения.
После обнаружения инцидента SSL.com отозвала 11 выданных сертификатов, включая те, что были связаны с Alibaba, а также доменами Medinet, Gurusoft, BetVictor и другими. Пока нет подтверждений, использовались ли они в реальных атаках, но потенциальные угрозы включали фишинг и перехват трафика.
Компания временно отключила проблемный метод валидации и пообещала до 2 мая опубликовать подробный отчет о случившемся.
