Comodo CA錯誤簽發奧地利電信A1域名SSL證書

Comodo CA錯誤簽發奧地利電信A1域名SSL證書

Mozilla更新的 Bugzilla報告 顯示,Comodo CA的域名自動化驗證過程出錯,錯誤給非域名所有者簽發了奧地利電信a1-telekom.eu的域名SSL證書

此次錯誤簽發的問題在於,Comodo採用自動化驗證方式頒發數字證書,在自動化驗證過程中使用了OCR(光學字符識別)組件,而該組件錯誤識別了圖像中的文字,導致***者可以利用這項技術漏洞獲取到敏感域名的SSL證書,.eu\.be\.at等頂級域名均受到影響。Rechenzentrum AG的兩名研究人員,在9月份發現了這個問題並聯繫了Comodo,但Comodo並沒有及時向國際組織報告,或向用戶公佈這個問題,只是在事件成爲公開信息後才公開。

OCR組件識別問題,導致證書錯誤簽發

當人們通過Comodo爲其網站域名申請SSL證書時,他們必須通過域名驗證過程,以證明他們是域名的真正所有者。

Comodo在驗證域名所有權的過程中,通過Whois記錄提取域名所有者的電子郵件地址,併發送驗證郵件。對於以.eu,.be,.at和其他擴展名註冊的某些域名,驗證信息不以文本格式存儲,而是通過圖像方式存儲,Comodo使用OCR組件掃描圖片並識別文本,自動處理所有傳入的用戶請求。

根據兩個研究人員的測試發現,這個OCR(光學字符識別)模塊存在識別問題,將“l”(L的小寫字母)識別爲數字“1”,將“o”(O的小寫字母)識別爲“0”(數字0)。

兩位研究人員說,Comodo或開發該組件的公司意識到這個錯誤,並設置了一些特殊規則來處理這些字符的識別問題。當OCR組件讀取l/1時,如果字符後面跟着一個數字,則識別爲“1”,如果它後面跟着一個字母,則識別爲小寫的L;0/o也是相同的規則。

***者可以爲其他網站註冊SSL證書

研究人員申請了altelekom.at,OCR組件按預期錯讀了Whois信息,並將確認郵件發送到錯誤的地址,研究人員使用鏈接從而獲得a1-telekom.eu的受信任證書。***者可以利用此技術來獲取敏感域名的SSL證書,這些證書可以用於中間人***,以攔截和解密HTTPS加密流量。

雖然這個問題隻影響到與4個問題字符相關的所有域名,但是該問題在Comodo的SSL簽發系統中存在了很長的一段時間。目前Mozilla正在調查此事,儘管修復了報告的問題,但Comodo可能會陷入與瀏覽器廠商的麻煩中,因爲其9月份沒有及時報告這個問題。這已經不是Comodo第一次錯誤簽發證書,事實上,Comodo已經出現多次向惡意軟件分銷商頒發證書的情況。


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章