メールアドレスのみの確認でSSL証明書を発行している認証局における問題

insiderman 曰く、　SSL証明書を発行する場合、認証局はその依頼者がドメインの管理者であることを確認する必要があるが、この際にメールアドレスによる簡単な確認のみで証明書が発行されるケースが問題視されている（JVNVU#92002857）。

　指摘されているのは、ユーザーにメールアドレスを発行するようなサービスを運営するホストでの危険性。たとえば「BuyHTTP」という証明書発行サービスでは、adminやadministrator、webmaster、hostmaster、postmaster、root、ssladmin、info、is、it、mis、ssladministrator、sslwebmasterといったアカウント名＋@ドメイン名、というメールアドレスでの確認のみで証明書を購入できるという。こういったメールアドレスをユーザーが取得できてしまうと、第三者が勝手にそのドメインでのSSL証明書を入手できる可能性がある。

　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
Superfishのように勝手にルート証明書をインストールするソフト、続々見つかる 2015年02月24日
無料でSSL証明書を取得できるサービス、来年夏登場予定 2014年11月20日
Google所有ドメイン向けの不正証明書が発行されていた 2013年12月12日