ComodoがOCR誤認識、一部ドメインで正規所有者以外がSSL証明書を取得できる状態
2016年10月24日 07:39
世界最大の認証局ComodoでSSL証明書発行手続きに不備があり、一部のドメインで正規の所有者以外がSSL証明書を取得できる状態にあったそうだ(Incident Report — OCR、Softpediaの記事、The Registerの記事、heise Securityの記事)。 ComodoではSSL証明書のリクエストがあるとWHOISデータベースからドメイン所有者の電子メールアドレスを取得し、確認の電子メールを返信する。一連の処理は自動化されているのだが、一部のTLD(.euおよび.be)に関しては電子メールアドレスがテキストで保存されておらず、画像に書き込まれた状態になっているのだという。 そのため、ComodoではOCRソフトウェアを使用してテキストを抽出し、ドメイン所有者に連絡を行っていたそうだ。しかし、このOCRソフトウェアでは数字の「1」と小文字の「l」、数字の「0」と小文字の「o」を正しく識別できなかったため、これらの文字に続く文字が英字の場合は英字として、数字の場合は数字として識別する仕組みを採用していた。 問題を発見した2人のセキュリティ研究者はオーストリアのプロバイダーA1 Telekomのドメイン「a1-telekom.eu」を実証に使用。このドメインでは連絡先の電子メールアドレスが「...@a1tekekom.at」(A1TELEKOM.at)となっている。 そこで、研究者はドメイン「altelekom.at」(ALTELEKOM.at)を取得して連絡先に「...@altekekom.at」を設定し、Comodoにa1-telekom.euのSSL証明書をリクエストする。その結果、取得したドメインの連絡先に確認の電子メールが届き、a1-telekom.euのSSL証明書を取得できてしまったとのこと。 この問題を指摘されたComodoではOCRソフトウェアの使用を中止し、.beドメインと.euドメインに対してOCRソフトウェアで処理を行っていた7月27日から9月28日までのSSL証明書発行状況を調査。このほかのドメインについてOCRソフトウェアの誤認識によるSSL証明書発行は確認されなかったとのことだ。 スラドのコメントを読む | セキュリティセクション | セキュリティ | バグ | 暗号
関連ストーリー: 証明書の不正発行や日付改ざんを行っていた認証局「WoSign」、Firefoxが同社による証明書をブロックへ 2016年10月04日 中国大手SSL認証局で不正に証明書を取得できてしまう問題が明らかに 2016年09月02日 Comodoのリモートサポートツールに脆弱性 2016年02月21日 セキュリティ企業が開発したChromiumベースの「セキュアな」Webブラウザに脆弱性 2016年02月06日 Let's Encryptの証明書、不正広告攻撃に悪用される 2016年01月11日 メールアドレスのみの確認でSSL証明書を発行している認証局における問題 2015年04月02日 トルコの認証局、手違いで中間CA証明書を発行。早速攻撃に使われる 2013年01月09日 オランダの認証局で不正侵入が発覚、不正なSSL証明書が発行される 2011年09月01日 クラックされた認証局から偽のSSL証明書が発行される 2011年03月24日 Comodo CAがサーバ証明書を関係のない第三者に発行、大問題に 2008年12月26日