SSL.com 도메인 검증 시스템에 보안 취약점이 발견되었습니다. BR 3.2.2.4.14 DCV 메서드(이메일을 DNS TXT 연락처로)를 악용하여 공격자는 시스템을 속여 이메일 도메인을 검증하고 무단 인증서를 얻을 수 있습니다. 예를 들어, `[email protected]`을 검증 이메일로 사용한 경우 SSL.com은 잘못하여 `aliyun.com`을 검증된 도메인 목록에 추가하여 공격자가 `aliyun.com`과 `www.aliyun.com`의 인증서를 얻도록 허용했습니다. 이는 검증 이메일과 대상 도메인을 정확하게 구분하지 못함을 나타내며 심각한 보안 위험이 됩니다.
더 보기
Sectigo의 최고 준수 책임자인 Tim Callan이 DigiCert의 인증서 관행에 대해 Bugzilla 포럼에서 의견을 게시한 후, DigiCert의 변호사들은 법적 조치를 통해 토론을 억압하려고 시도했습니다. Sectigo의 법률 고문인 Brian Holland는 Callan의 발언이 수정헌법 제1조에 따라 보호되며 WebPKI의 중요한 문제에 대한 공개 토론을 촉진하기 위한 것이었다고 반박했습니다. Holland는 DigiCert의 행동이 WebPKI의 자기 규제 시스템을 해치는 것이며, 유사한 사건을 방지하기 위해 업계의 주의를 환기하고 있습니다. 이 사건은 WebPKI의 보안과 투명성, 그리고 공개 담론에서 기업의 책임과 권리를 강조하고 있습니다.
더 보기
Honest Achmed라는 개인이 Mozilla의 신뢰할 수 있는 저장소에 자신의 루트 인증서를 추가해 달라는 요청을 제출했습니다. 그의 신청서는 유머와 풍자로 가득 차 있으며, 야심 찬 사업 계획, 즉 충분한 인증서를 판매하여 '너무 커서 실패할 수 없는' 상태가 되어 규제를 피한다는 내용이었습니다. Mozilla는 최종적으로 이 요청을 무효로 거부했지만, Bugzilla 스레드는 개발자들 사이에서 활발한 논의를 불러일으켰고, 농담과 CA 업계 현황에 대한 논평으로 가득 차 있었습니다.
더 보기