专注:网络安全、系统安全、应用安全、数据库安全、运维安全,趋势分析。

安全从业者2000人超级群:187297569 沟通:1255197 技术:75140776 北京:107606822 西安:53210718 渗透:50806427 站长QQ:55984512


每日安全资讯:域名贩子成功诱使 Comodo 为 .sb 顶级域名签发证书

2016-10-03 06:51 推荐: 浏览: 10 views 评论 字号:

摘要: 文章目录[隐藏] 更多资讯 WPJAM TOC 以将 t.tt 域名高价卖给锤子科技而成名的域名贩子郭秀峰(aka Showfom)9月24日在 Mozilla 安全政策邮件组发文称他通过向 Comodo 申请 “www.sb” 域名的 Posi...

文章目录[隐藏] WPJAM TOC

以将 t.tt 域名高价卖给锤子科技而成名的域名贩子郭秀峰(aka Showfom)9月24日在 Mozilla 安全政策邮件组发文称他通过向 Comodo 申请 “www.sb” 域名的 Positive SSL 证书拿到了以 “sb” 顶级域名作为 dNSName 的证书。根据9月26日 Comodo 发布的报告,这是由于其系统在验证了 WWW 子域名(例如 “www.example.com”)所有权后会判断 “example.com” 同样为申请人所有。

Comodo 称仅 WWW 子域名受到这一待遇,且根据 CA/B 论坛的规章(Baseline Requirements, BRs)第3.2.2.4 节第 7 条这一判断方式是合规的。然而在几周前 Comodo 在巡查中发现另一张签发给 “www.tc” 的域名证书的 dNSName 同样包含 “tc”(“www.tc” 二级域名与 “tc” 顶级域名属于同一实体)。

鉴于该实现的特殊性,Comodo 判断此漏洞“非紧急”,并准备于下一次定期维护中修复,而郭秀峰正是利用这一时间差成功诱使 Comodo 签发顶级域名证书的。9月24日当天 Comodo 已紧急部署补丁修复了该问题。涉事证书并非 “*.sb” 泛域名证书,仅可用于 “sb” 本身,根据域名规则事实上无法使用。

201610003

来源:solidot

更多资讯

  1. 谷歌Play商店又现恶意代码,这次有400款App遭殃
  2. Apple 屏蔽对 WoSign 的信任,但事态仍有挽回余地
  3. 黑客入侵美国大选投票系统 暂无操纵数据迹象
  4. 别再用这款软件聊隐私!苹果承认它可能泄露信息

(信息来源于网络,安华金和搜集整理)

联系站长租广告位!

中国首席信息安全官