Comodo CA错误签发奥地利电信A1域名SSL证书

Mozilla更新的 Bugzilla报告 显示,Comodo CA的域名自动化验证过程出错,错误给非域名所有者签发了奥地利电信a1-telekom.eu的域名SSL证书

此次错误签发的问题在于,Comodo采用自动化验证方式颁发数字证书,在自动化验证过程中使用了OCR(光学字符识别)组件,而该组件错误识别了图像中的文字,导致***者可以利用这项技术漏洞获取到敏感域名的SSL证书,.eu\.be\.at等顶级域名均受到影响。Rechenzentrum AG的两名研究人员,在9月份发现了这个问题并联系了Comodo,但Comodo并没有及时向国际组织报告,或向用户公布这个问题,只是在事件成为公开信息后才公开。

OCR组件识别问题,导致证书错误签发

当人们通过Comodo为其网站域名申请SSL证书时,他们必须通过域名验证过程,以证明他们是域名的真正所有者。

Comodo在验证域名所有权的过程中,通过Whois记录提取域名所有者的电子邮件地址,并发送验证邮件。对于以.eu,.be,.at和其他扩展名注册的某些域名,验证信息不以文本格式存储,而是通过图像方式存储,Comodo使用OCR组件扫描图片并识别文本,自动处理所有传入的用户请求。

根据两个研究人员的测试发现,这个OCR(光学字符识别)模块存在识别问题,将“l”(L的小写字母)识别为数字“1”,将“o”(O的小写字母)识别为“0”(数字0)。

两位研究人员说,Comodo或开发该组件的公司意识到这个错误,并设置了一些特殊规则来处理这些字符的识别问题。当OCR组件读取l/1时,如果字符后面跟着一个数字,则识别为“1”,如果它后面跟着一个字母,则识别为小写的L;0/o也是相同的规则。

***者可以为其他网站注册SSL证书

研究人员申请了altelekom.at,OCR组件按预期错读了Whois信息,并将确认邮件发送到错误的地址,研究人员使用链接从而获得a1-telekom.eu的受信任证书。***者可以利用此技术来获取敏感域名的SSL证书,这些证书可以用于中间人***,以拦截和解密HTTPS加密流量。

虽然这个问题只影响到与4个问题字符相关的所有域名,但是该问题在Comodo的SSL签发系统中存在了很长的一段时间。目前Mozilla正在调查此事,尽管修复了报告的问题,但Comodo可能会陷入与浏览器厂商的麻烦中,因为其9月份没有及时报告这个问题。这已经不是Comodo第一次错误签发证书,事实上,Comodo已经出现多次向恶意软件分销商颁发证书的情况。