Comodo CA错误签发奥地利电信A1网站域名SSL证书

10-02 14:32 常见问答

网站域名


Mozilla升级的Bugzilla汇报显示信息,ComodoCA的网站域名自动化技术认证全过程错误,不正确给非网站域名使用者批准了奥地利电信网a1-telekom.eu的网站域名SSL资格证书。

本次不正确批准的难题取决于,Comodo选用自动化技术认证方法授予ca证书,在自动化技术认证全过程中应用了OCR(电子光学字符识别)部件,而该部件不正确鉴别了图象中的文本,造成网络攻击能够运用这项技术系统漏洞获得到比较敏感网站域名的SSL资格证书,.eu.be.at等一级域名均遭受危害。RechenzentrumAG的几名科学研究工作人员,在9月发觉了这一难题并联络了Comodo,但Comodo并沒有立即向国际卫生组织汇报,或向客户发布这一难题,仅仅在恶性事件变成公布信息内容后才公布。

OCR部件鉴别难题,造成证书错误批准

SSL资格证书

当大家根据Comodo为其网址域名申请SSL资格证书时,她们务必根据网站域名认证全过程,以证实她们是网站域名的真实使用者。

Comodo在认证网站域名使用权的全过程中,根据Whois纪录获取网站域名使用者的电子邮件地址,并推送验证邮件。针对以.eu,.be,.at和别的扩展名申请注册的一些网站域名,认证信息内容不因文本格式储存,只是根据图象方法储存,Comodo应用OCR部件扫描仪照片并鉴别文字,全自动解决全部传到的客户恳求。

依据2个科学研究工作人员的检测发觉,这一OCR(电子光学字符识别)控制模块存有鉴别难题,将“l”(L的小写字母)鉴别为大数字“1”,将“o”(O的小写字母)鉴别为“0”(大数字0)。

俩位科学研究工作人员说,Comodo或开发设计该部件的企业观念到这一不正确,并设定了某些独特标准来解决这种空格符的鉴别难题。当OCR部件载入l/1时,假如空格符后边跟随1个大数字,则鉴别为“1”,假如它后边跟随1个英文字母,则鉴别为小写字母的L;0/o都是同样的标准。

网络攻击能够为别的注册网站SSL资格证书

科学研究工作人员申请办理了altelekom.at,OCR部件按预估错读了Whois信息内容,并将确定发送邮件到不正确的详细地址,科学研究工作人员应用连接进而得到a1-telekom.eu的受信赖资格证书。网络攻击能够运用此技术性来获得比较敏感网站域名的SSL资格证书,这种资格证书能够用以中间人攻击,以阻拦和破译HTTPS数据加密总流量。

尽管这一难题只危害到与4个难题空格符有关的全部网站域名,可是该难题在Comodo的SSL批准系统软件中存有了较长的过段时间。现阶段Mozilla已经调研这事,虽然修补了汇报的难题,但Comodo将会会深陷与电脑浏览器生产商的不便中,由于其9月沒有立即汇报这一难题。这早已并不是Comodo初次不正确批准资格证书,实际上,Comodo早已出現数次向恶意程序代销商授予资格证书的状况。


您可能也喜欢

cache
Processed in 0.005178 Second.