Beliebte Tags:
Kosmos Virtualisierung DNS-Sicherheit formale Verifikation Erreichbarkeitsanalyse KI Compilerfehler Makrokonflikt Web-Erweiterung Entwicklungsframework Alle Tags

SSL.com-Domänenvalidierungsfehler: Falsche Verifizierung von E-Mail-Domänen

2025-04-19

Eine Sicherheitslücke wurde im Domänenvalidierungssystem von SSL.com entdeckt. Durch Ausnutzung der BR 3.2.2.4.14 DCV-Methode (E-Mail an DNS TXT-Kontakt) kann ein Angreifer das System dazu bringen, seine E-Mail-Domäne zu verifizieren und so nicht autorisierte Zertifikate zu erhalten. Beispielsweise fügte SSL.com bei Verwendung von `[email protected]` als Verifizierungs-E-Mail fälschlicherweise `aliyun.com` zur Liste der verifizierten Domänen hinzu, wodurch der Angreifer Zertifikate für `aliyun.com` und `www.aliyun.com` erhalten konnte. Dies zeigt eine Unfähigkeit, präzise zwischen der Verifizierungs-E-Mail und der Zieldomäne zu unterscheiden, was ein erhebliches Sicherheitsrisiko darstellt.

Mehr lesen
(bugzilla.mozilla.org)
Technologie Domänenvalidierung

DigiCert versucht, offene Diskussion über WebPKI-Sicherheitsfragen zum Schweigen zu bringen

2025-02-25

Nach Kommentaren von Sectigos Chief Compliance Officer, Tim Callan, im Bugzilla-Forum zu den Zertifikatspraktiken von DigiCert, versuchten DigiCerts Anwälte, die Diskussion durch Androhung rechtlicher Schritte zum Schweigen zu bringen. Sectigos General Counsel, Brian Holland, antwortete, dass Callans Aussagen durch den Ersten Verfassungszusatz geschützt seien und darauf abzielten, eine offene Debatte über wichtige WebPKI-Fragen zu fördern. Holland argumentiert, dass DigiCerts Vorgehen das Selbstregulierungssystem des WebPKI schädigt und fordert die Branche auf, aufmerksam zu sein, um ähnliche Vorfälle zu verhindern. Der Vorfall beleuchtet die Sicherheit und Transparenz des WebPKI sowie die Verantwortung und Rechte von Unternehmen im öffentlichen Diskurs.

Mehr lesen
(bugzilla.mozilla.org)
Technologie Rechtliche Schritte

Honest Achmeds witziger Versuch, eine Mozilla-Root-CA zu werden

2025-01-18

Honest Achmed, eine Einzelperson, reichte einen Antrag ein, sein Root-Zertifikat in den vertrauenswürdigen Speicher von Mozilla aufzunehmen. Sein Antrag, voller Humor und Ironie, beschrieb einen ehrgeizigen Geschäftsplan: genügend Zertifikate zu verkaufen, um „zu groß zum Scheitern“ zu werden und so die Regulierung zu umgehen. Mozilla lehnte den Antrag letztendlich als ungültig ab, aber der Bugzilla-Thread löste eine lebhafte Diskussion unter den Entwicklern aus, voller Witze und Kommentare zum Zustand der CA-Industrie.

Mehr lesen
(bugzilla.mozilla.org)
Sonstiges Root-Zertifikat