人気のタグ:
仮想化 DNSセキュリティ 形式的検証 到達可能性解析 C言語 コンパイラエラー マクロの衝突 Web拡張機能 開発フレームワーク コモドール64 すべてのタグ

SSL.comのドメイン検証の欠陥:メールドメインの誤った検証

2025-04-19

SSL.comのドメイン検証システムにセキュリティの脆弱性が発見されました。BR 3.2.2.4.14 DCVメソッド(メールアドレスからDNS TXTコンタクト)を悪用することで、攻撃者はシステムを欺き、メールドメインを検証させ、不正な証明書を取得できます。例えば、`[email protected]`を検証メールアドレスとして使用した場合、SSL.comは誤って`aliyun.com`を検証済みドメインリストに追加し、攻撃者が`aliyun.com`と`www.aliyun.com`の証明書を取得することを許可しました。これは、検証メールアドレスとターゲットドメインを正確に区別できないことを示しており、重大なセキュリティリスクとなります。

続きを読む
(bugzilla.mozilla.org)
テクノロジー ドメイン検証

DigiCert、WebPKIのセキュリティ問題に関する公開討論を黙らせようとする

2025-02-25

Sectigoの最高コンプライアンス責任者であるTim Callan氏が、DigiCertの証明書運用についてBugzillaフォーラムでコメントしたことを受け、DigiCertの弁護士は法的措置をちらつかせて議論の沈静化を試みました。Sectigoの法務顧問であるBrian Holland氏は、Callan氏の発言は第一修正権で保護されており、WebPKIに関する重要な問題についての公開討論を促進することを目的としていたと反論しました。Holland氏は、DigiCertの行動はWebPKIの自己規制システムを損なうものであり、同様の事件を防ぐために業界の注意を喚起しています。この事件は、WebPKIのセキュリティと透明性、そして公共の議論における企業の責任と権利を浮き彫りにしています。

続きを読む
(bugzilla.mozilla.org)
テクノロジー 法的措置

Honest AchmedによるMozillaルートCAになるための滑稽な試み

2025-01-18

Honest Achmedという個人は、Mozillaの信頼済みストアに彼のルート証明書を追加するよう申請しました。彼の申請書はユーモアと皮肉に満ちており、野心的なビジネスプラン、つまり十分な証明書を販売して「大きすぎて潰せない」状態になり、規制を回避するという内容でした。Mozillaは最終的にこの申請を無効として却下しましたが、Bugzillaのスレッドは開発者たちの間で活発な議論を引き起こし、ジョークやCA業界の現状に関するコメントで溢れていました。

続きを読む
(bugzilla.mozilla.org)
その他 ルート証明書