記事本文(要約)
DCV(Domain Control Validation)の脆弱性により、SSL.comが7つの正当なドメインに対して誤ってデジタル証明書を発行しました。この脆弱性は、研究者がAlibaba Cloudの公式サイトであるaliyun.comの偽証明書を取得するために悪用したことで発覚しました。問題は、BR 3.2.2.4.14 DCVメソッド(Email to DNS TXT Contact)におけるドメイン認証の不備から発生しました。研究者は、テストドメインに’_validation-contactemail’というDNS TXTレコードを作成し、SSL.comに証明書を申請、指定したメールアドレスに送られたランダム値を使用してドメインを検証し、aliyun.comを含めた証明書を取得しました。
この報告を受け、SSL.comはすぐにこの方法でのドメイン検証を停止し、全ての誤発行された証明書を無効にしました。2024年6月から、他にも*.medinet.ca、help.gurusoft.com.sgなど計10件の証明書が誤発行され、現在全て無効化されています。SSL.comは調査を継続し、さらなる情報を提供する予定です。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 22 Apr 2025 12:13:46 +0000
Original URL: https://www.securityweek.com/ssl-com-scrambles-to-patch-certificate-issuance-vulnerability/
詳細な技術情報
- 脆弱性の仕組み
- 脆弱性はドメインコントロール検証(DCV)に関連しており、具体的には、SSL.comが「BR 3.2.2.4.14 DCV メソッド(Email to DNS TXT Contact)」を正しく実施しなかったことにより、正当なドメインでないにもかかわらず誤ってデジタル証明書を発行してしまう状況が発生しました。このDCVメソッドには、承認者のメールアドレスのホスト名が検証済みのドメインとして誤って扱われるという問題がありました。
- 攻撃手法
- 研究者は以下の手法を利用して脆弱性を攻撃しました。
- 1. テストドメインに対して、`_validation-contactemail` DNS TXT レコードを作成し、@aliyun.com のメールアドレスを利用。
- 2. SSL.comに証明書を申請し、メール承認者リストから自身のメールアドレスを選択。
- 3. 指定されたメールアドレスに送信されたDCVランダム値を用いてDCV検証プロセスを完了。
- 4. これにより、aliyun.comおよびwww.aliyun.comの証明書を取得可能となった。
- 研究者は以下の手法を利用して脆弱性を攻撃しました。
- 潜在的な影響
- 不正に発行された証明書は、フィッシング攻撃や中間者攻撃(MITM攻撃)に利用される可能性があります。これにより、エンドユーザーは信頼できないウェブサイトに誘導され、個人情報が漏洩するリスクが高まります。
- 推奨される対策
- 1. メソッドの無効化と修正: 脆弱なDCVメソッドを無効にし、詳しい調査の後、問題を修正する。
- 2. 証明書の取り消し: すでに発行された不正な証明書を即座に取り消す。
- 3. 継続的な監視と透明性の確保: 引き続き他の可能性のある影響を調査し、透明性を保ちつつコミュニティに情報を提供する。
- 4. 改良されたプロセスの開発: 証明書発行のプロセスにおける検証の精度を向上させる新しい手法を開発。
- 関連情報
- インターネット企業によるTLS証明書の有効期間の短縮(2029年までに47日へ)
- HTTPS証明書検証を改善する新しい発行要件 – DigiCertによる6,800の顧客からの83,000の証明書の取り消し
- 中国のサイバーエスピオナージグループ「Billbug」による証明書機関への攻撃
