Bir SSL.com güvenlik açığı, saldırganların e-posta tabanlı etki alanı doğrulama yönteminde bir hatadan yararlanarak ana alanlar için geçerli SSL sertifikaları vermesine izin verdi.
İnternet güvenliği güvene dayanır ve Sertifika Otoritesi (CA), web sitesi kimliklerini doğruladığı ve bir bilgisayar ve web sitesi arasındaki iletişimi şifreleyen SSL/TLS sertifikalarını doğruladığı için bu sistemdeki önemli bir oyuncudur.
Ancak, son zamanlarda, bu güvenilir CAS, SSL.com’dan biri ile ciddi bir sorun bulundu. Araştırmacılar, SSL.com’un bir sertifika isteyen birisinin etki alanı kontrolü doğrulaması (DCV) adı verilen bir süreç olan alan adını gerçekten kontrol edip etmediğini nasıl kontrol ettiğine dair bir kusur keşfettiler.
SSL.com, kullanıcıların etki alanı kontrolünü doğrulamasını ve şifreli HTTPS bağlantıları için bir TLS sertifikası almasını sağlar. _validation-contactemail DNS TXT Değer olarak iletişim e -posta adresini kaydedin. SSL.com, kullanıcının etki alanındaki kontrolünü onaylamak için bir kod ve URL gönderir. Ancak, bu hata nedeniyle, SSL.com artık kullanıcıyı iletişim e -postası için kullanılan etki alanının sahibi olarak görüyor.
Bu kusur, özellikle hangi sunucuların bu etki alanı için e -posta aldığını gösteren MX kayıtlarında kontrolü doğrulamak için e -postanın kullanılma biçiminden kaynaklanmaktadır. Bir alan adıyla ilişkili herhangi bir e -posta adresinden e -posta almasına ve tüm alan adı için geçerli bir SSL sertifikası almasına izin verdi. Özellikle ile ilgilidir BR 3.2.2.4.14 DCV Yöntem aka ‘DNS TXT İletişimine e -posta’.
Bu çok önemlidir, çünkü bir saldırganın sadece bir çalışanın e-posta adresi veya hatta alana bağlı olan ücretsiz bir e-posta adresi olarak meşru görünümlü bir sertifika almak için bir web sitesi üzerinde tam kontrol sahibi olması gerekmeyecektir.
Kötü niyetli aktörler, meşru web sitelerinin sahte sürümlerini oluşturmak, kimlik bilgilerini çalmak, kullanıcı iletişimini engellemek ve ortadaki bir saldırı yoluyla potansiyel olarak hassas bilgileri çalmak için geçerli SSL sertifikalarını kullanabilir. Takma adını kullanan bir güvenlik araştırmacısı SEC muhabiri bunu kullanarak gösterdi @aliyun.com E -posta adresi (Alibaba tarafından işletilen bir webmail hizmeti) için sertifika almak için aliyun.com Ve www.aliyun.com.
Bu güvenlik açığı, kamuya açık e -posta adresleri, özellikle büyük şirketler, katı e -posta kontrolü olmayan alan adları ve CAA (Sertifika Otoritesi Yetkisi) DNS kayıtlarını kullanarak alan adlarını etkiler.
SSL.com sorunu kabul etti ve test sertifikasının yanı sıra araştırmacının elde ettiği, yanlışlıkla aynı şekilde on sertifika daha yayınladıklarını açıkladı. Haziran 2024 gibi başlayan bu sertifikalar aşağıdaki alanlar içindi:
*. medinet.ca– help.gurusoft.com.sg (iki kez verildi), banners.betvictor.com– production-boomi.3day.com– kisales.com (dört kez yayınlandı) ve medc.kisales.com (dört kez yayınlandı).
Şirket ayrıca ‘e -posta to DNS TXT İletişim’ doğrulama yöntemini devre dışı bıraktı ve “bu, emanet tarafından kullanılan sistemleri ve API’leri etkilemedi” dedi.
SSL.com’un sorunu çözülmüş olsa da, web sitesi güvenliğini korumak için önemli adımları gösterir. CAA Records, tarayıcılara hangi şirketlerin sertifika verebileceğini söylemek için kullanılmalı, yetkisiz sertifikalar yakalamak için halka açık günlükler izlenmeli ve web sitelerine bağlı e -posta hesapları güvenli olmalıdır.