Post #4347

Сертификаты всем В удостоверяющем центре SSL.com найдена уязвимость, позволявшая получить сертификаты для чужих доменов через обычный доступ к email. Исследователь показал, как можно получить сертификат для домена через простую манипуляцию с DNS-записями. В основе лежит баг в системе проверки домена при подтверждении через DNS TXT. Во время валидации метод ошибочно маркировал домен из email-адреса как проверенный, даже если запрашивался совсем другой домен. Это открывало возможность получать сертификаты для популярных email-сервисов, например gmail.com, или целенаправленно атаковать корпоративные домены через компрометацию почты сотрудников. Ещё раз, вы могли получить ЛЮБОЙ корневой сертификат просто потому что ваш email с верифицированным доменом и не важно каким. Хоть @mail.ru, хоть @gmail.com, сертификат ваш. SSL.com отключил проблемный метод проверки и отозвал 11 выданных сертификатов. Полный отчет о расследовании обещают выкатить до 2 мая. НеКасперский