每日安全资讯:域名贩子成功诱使Comodo为.sb顶级域名签发证书
以将 t.tt 域名高价卖给锤子科技而成名的域名贩子郭秀峰(aka Showfom)9月24日在 Mozilla 安全政策邮件组发文称他通过向 Comodo 申请 www.sb 域名的 Positive SSL 证书拿到了以 sb 顶级域名作为 DNSName 的证书。根据9月26日 Comodo 发布的报告,这是由于其系统在验证了 WWW 子域名(例如 www.example.com)所有权后会判断 example.com 同样为申请人所有。
Comodo 称仅 WWW 子域名受到这一待遇,且根据 CA/B 论坛的规章(Baseline Requirements, BRs)第3.2.2.4 节第 7 条这一判断方式是合规的。然而在几周前 Comodo 在巡查中发现另一张签发给 www.tc 的域名证书的 dNSName 同样包含 tc(www.tc 二级域名与 tc 顶级域名属于同一实体)。
鉴于该实现的特殊性,Comodo 判断此漏洞非紧急,并准备于下一次定期维护中修复,而郭秀峰正是利用这一时间差成功诱使 Comodo 签发顶级域名证书的。9月24日当天 Comodo 已紧急部署补丁修复了该问题。涉事证书并非 *.sb 泛域名证书,仅可用于 sb 本身,根据域名规则事实上无法使用。
来源:solidot
更多资讯
谷歌Play商店又现恶意代码,这次有400款App遭殃
http://t.cn/RcFrPYj
Apple 屏蔽对 WoSign 的信任,但事态仍有挽回余地
http://t.cn/RcFrhGA
黑客入侵美国大选投票系统 暂无操纵数据迹象
http://t.cn/RcFrh3T
别再用这款软件聊隐私!苹果承认它可能泄露信息
http://t.cn/RcFr7RR
(信息来源于网络,安华金和搜集整理)
