Vulnerability Notes Database - Advisory and mitigation information about software vulnerabilities |
カーネギーメロン大学ソフトウェア工学研究所のCERT研究機関は3月27日(米国時間)、脆弱性データベース「Homelang Security|Vulnerability Notes Database - Advisory and mitigation information about software vulnerabilities」に掲載された記事「Vulnerability Note VU#591120 - Multiple SSL certificate authorities use email addresses as proof of domain ownership」で、複数のSSL認証局において管理者以外の電子メールアドレスを使った証明書の発行が可能であることを指摘した。これを悪用されると、攻撃者によって不正に証明書を取得される可能性があり、HTTPSスプーフィングなどに悪用される危険性がある。
認証局は要求された認証書の発行に対して、要求者が適切なユーザであることを確認するために特定のメールアドレスを利用するものがあるが、確認に利用できるユーザ名が悪用される危険性がある。特にメールサービスを提供しているサーバなどでは、第三者が認証局が確認に利用するユーザ名のメールアドレスを取得できた場合、サーバのオーナーのように振る舞って証明書を取得できてしまうことになる。
こうした手順で発行された証明書はユーザから見れば正規の証明書にしか見えないため、攻撃を防御することは難しい。VNDではこの問題による実害は報告されていないが、ルート認証局で利用できるメールアドレスの作成などを行えないようにするといった回避策を実施することなどを推奨している。