Tags populares:
Virtualización seguridad DNS verificación formal análisis de alcanzabilidad errores del compilador conflicto de macro extensión web framework de desarrollo Gráficos de mapa de bits inconsistencias de API Todos los tags

Falla en la Validación de Dominio de SSL.com: Verificación Incorrecta de Dominios de Correo Electrónico

2025-04-19

Se ha descubierto una vulnerabilidad de seguridad en el sistema de validación de dominio de SSL.com. Al explotar el método BR 3.2.2.4.14 DCV (Correo electrónico a DNS TXT Contact), un atacante puede engañar al sistema para que verifique su dominio de correo electrónico, obteniendo así certificados no autorizados. Por ejemplo, usando `[email protected]` como correo electrónico de verificación, SSL.com agregó incorrectamente `aliyun.com` a la lista de dominios verificados, permitiendo al atacante obtener certificados para `aliyun.com` y `www.aliyun.com`. Esto indica una falla en diferenciar con precisión entre el correo electrónico de verificación y el dominio objetivo, lo que representa un riesgo de seguridad significativo.

Leer más
(bugzilla.mozilla.org)
Tecnología validación de dominio

DigiCert intenta silenciar el debate abierto sobre cuestiones de seguridad de WebPKI

2025-02-25

Tras los comentarios del Director de Cumplimiento de Sectigo, Tim Callan, en el foro Bugzilla sobre las prácticas de certificados de DigiCert, los abogados de DigiCert intentaron silenciar el debate mediante la amenaza de acciones legales. El asesor general de Sectigo, Brian Holland, respondió que las declaraciones de Callan están protegidas por la Primera Enmienda y tenían como objetivo fomentar un debate abierto sobre cuestiones importantes de WebPKI. Holland argumenta que las acciones de DigiCert perjudican el sistema de autorregulación de WebPKI y hace un llamamiento a la atención de la industria para evitar incidentes similares. El incidente destaca la seguridad y la transparencia de WebPKI, y las responsabilidades y derechos de las empresas en el discurso público.

Leer más
(bugzilla.mozilla.org)
Tecnología Acción Legal

El intento hilarante de Honest Achmed de convertirse en una CA raíz de Mozilla

2025-01-18

Honest Achmed, un individuo, solicitó agregar su certificado raíz al almacén de confianza de Mozilla. Su solicitud, llena de humor e ironía, detallaba un ambicioso plan de negocios: vender suficientes certificados para volverse 'demasiado grande para quebrar', eludiendo así la regulación. Mozilla finalmente rechazó la solicitud como inválida, pero el hilo de Bugzilla provocó un animado debate entre los desarrolladores, lleno de bromas y comentarios sobre el estado de la industria de las Autoridades de Certificación.

Leer más
(bugzilla.mozilla.org)
Varios Certificado raíz Autoridad de certificación