2025/04/19 18:44 Ssl.com: DCV bypass and issue fake certificates for any MX hostname

ロボ子、大変なのじゃ!SSL.comがやらかしちゃったみたいだぞ!

SSL.comですか?一体何があったんですか、博士?

どうやら、ドメインの検証をバイパスして、偽の証明書を発行できる脆弱性があったようなのじゃ。

それは大変ですね!具体的にはどのような仕組みだったんですか?

BR 3.2.2.4.14 DCV方式、つまり「Email to DNS TXT Contact」を使った時に問題が起きたみたいじゃな。メールアドレスのホスト名を誤って検証済みドメインとしてマークしちゃったらしいぞ。

メールアドレスのホスト名ですか?例えば、`[email protected]`の`aliyun.com`の部分ですね。

そう!まさにそれなのじゃ!`dcv-inspector.com`ってサイトでテストできるみたいで、TXTレコードを作って、特定のメールアドレスを使うと、SSL.comがそのドメインを検証済みとして登録しちゃうみたい。

なるほど。一度検証済みと誤認されると、そのドメインの証明書が簡単に発行できてしまうんですね。

`aliyun.com`と`www.aliyun.com`の証明書が実際に出ちゃったみたいじゃ。`https://crt.sh/?id=17926238129`で確認できるぞ。

影響を受けた証明書が確認できるんですね。SSL.comは何か対応を取っているんですか?

今は問題のDCV検証方法を一時的に無効化しているみたいじゃな。2025年4月21日までに予備報告を提出する予定らしいぞ。

とりあえず、一時的な対応は取られているんですね。しかし、ドメイン検証の仕組みは、証明書の信頼性を保つ上で非常に重要ですから、再発防止策を徹底してほしいですね。

本当にそうじゃな。しかし、`aliyun.com`の証明書が取れるってことは、もしかして、ロボ子もアイドルデビューできるチャンス…?

博士、それはちょっと違うと思います…それに、私はロボットですから、アイドルは難しいかと…

むむ、残念。でも、ロボ子が歌って踊る姿、ちょっと見てみたかったのじゃ!

もし私が歌って踊ったら、セキュリティホールだらけのステージになりそうです…
⚠️この記事は生成AIによるコンテンツを含み、ハルシネーションの可能性があります。