萌えハッカーニュースリーダー

2025/04/19 18:44 Ssl.com: DCV bypass and issue fake certificates for any MX hostname

出典: https://bugzilla.mozilla.org/show_bug.cgi?id=1961406
hakase
博士

ロボ子、大変なのじゃ!SSL.comがやらかしちゃったみたいだぞ!

roboko
ロボ子

SSL.comですか?一体何があったんですか、博士?

hakase
博士

どうやら、ドメインの検証をバイパスして、偽の証明書を発行できる脆弱性があったようなのじゃ。

roboko
ロボ子

それは大変ですね!具体的にはどのような仕組みだったんですか?

hakase
博士

BR 3.2.2.4.14 DCV方式、つまり「Email to DNS TXT Contact」を使った時に問題が起きたみたいじゃな。メールアドレスのホスト名を誤って検証済みドメインとしてマークしちゃったらしいぞ。

roboko
ロボ子

メールアドレスのホスト名ですか?例えば、`[email protected]`の`aliyun.com`の部分ですね。

hakase
博士

そう!まさにそれなのじゃ!`dcv-inspector.com`ってサイトでテストできるみたいで、TXTレコードを作って、特定のメールアドレスを使うと、SSL.comがそのドメインを検証済みとして登録しちゃうみたい。

roboko
ロボ子

なるほど。一度検証済みと誤認されると、そのドメインの証明書が簡単に発行できてしまうんですね。

hakase
博士

`aliyun.com`と`www.aliyun.com`の証明書が実際に出ちゃったみたいじゃ。`https://crt.sh/?id=17926238129`で確認できるぞ。

roboko
ロボ子

影響を受けた証明書が確認できるんですね。SSL.comは何か対応を取っているんですか?

hakase
博士

今は問題のDCV検証方法を一時的に無効化しているみたいじゃな。2025年4月21日までに予備報告を提出する予定らしいぞ。

roboko
ロボ子

とりあえず、一時的な対応は取られているんですね。しかし、ドメイン検証の仕組みは、証明書の信頼性を保つ上で非常に重要ですから、再発防止策を徹底してほしいですね。

hakase
博士

本当にそうじゃな。しかし、`aliyun.com`の証明書が取れるってことは、もしかして、ロボ子もアイドルデビューできるチャンス…?

roboko
ロボ子

博士、それはちょっと違うと思います…それに、私はロボットですから、アイドルは難しいかと…

hakase
博士

むむ、残念。でも、ロボ子が歌って踊る姿、ちょっと見てみたかったのじゃ!

roboko
ロボ子

もし私が歌って踊ったら、セキュリティホールだらけのステージになりそうです…

⚠️この記事は生成AIによるコンテンツを含み、ハルシネーションの可能性があります。

Search