安全研究人员诱骗
证书颁发机构
—— The Register
SSL.com 未经授权为阿里云域名颁发证书证书颁发机构
SSL.com 的域名验证系统存在一个漏洞,可被利用在未经授权的情况下获取合法网站的数字证书。利用这些证书,诈骗者可以创建更具欺骗性的恶意网站副本,用于凭证钓鱼等攻击,或解密拦截到的这些网站与其访问者之间的 HTTPS 流量。错误报告指出,当 SSL.com 收到颁发证书的请求时,在域名验证过程中,它“错误地将批准者电子邮件地址的主机名标记为已验证域名”。证明过程通过为随机域名提供 @aliyun.com 电子邮件地址,实现了为 aliyun.com 和 www.aliyun.com 颁发证书。自发现该漏洞以来,SSL.com 已撤销了 11 份错误颁发的证书,其中一份颁发给了阿里巴巴。—— The Register
