Egy frissen feltárt sérülékenység az SSL.com tanúsítványkiadási folyamatában lehetővé tette, hogy illetéktelen felek olyan TLS-tanúsítványokat szerezzenek meg, amelyekkel akár világszerte ismert szolgáltatásokat is hitelesíthettek volna jogosultság nélkül. A sebezhetőséget kihasználva többek között az Alibaba Cloudhoz tartozó aliyun.com domain is érintetté vált.
A Mozilla által közzétett technikai jelentés szerint a probléma gyökere az SSL.com „Email to DNS TXT Contact” módszerében rejlett. Ez a mechanizmus a tanúsítványigénylése során egy előre meghatározott DNS TXT rekordban szereplő e-mail címre küldi az ellenőrző üzenetet, és ha azon keresztül visszaigazolást kap, érvényesnek tekinti a kérelmet. A kutatók azonban azt tapasztalták, hogy a rendszer nem megfelelően kezelte azt az esetet, amikor a megadott e-mail cím egy másik, nagy presztízsű domainhez tartozott.
Az SSL.com a felfedezést követően 11 darab, hibásan kiadott tanúsítványt vont vissza, köztük olyanokat, amelyek kritikus szolgáltatásokhoz kapcsolódtak:
- com – Alibaba Cloud
- *.medinet.ca – kanadai egészségügyi szoftvercég
- gurusoft.com.sg – szingapúri ellátásilánc-támogatás
- betvictor.com – online szerencsejáték reklámplatform
Bár a jelenlegi információk szerint nem történt visszaélés, az eset rámutat, hogy már egyetlen validációs logikai hiba is elegendő lehet ahhoz, hogy egy tanúsítványkiadó teljes hitelessége megkérdőjeleződjön. Egy ilyen tanúsítvány birtokában könnyen lehetőség nyílhatna a HTTPS forgalom lehallgatására, adathalász oldalak hitelesítésére, szolgáltatások hiteles megszemélyesítésére.
Az SSL.com közlése szerint a hibát egy „hibás validációs implementáció” okozta, és a kérdéses ellenőrzési módszert ideiglenesen deaktiválták. A kifogásolt tanúsítványokat 24 órán belül visszavonták, és a kiadó teljes körű jelentést ígért az esetről.