Tags populares:
Virtualização segurança DNS verificação formal análise de alcance IA erros do compilador conflito de macro extensão web framework de desenvolvimento Gráficos de Bitmap Todos os tags

Falha na Validação de Domínio SSL.com: Verificação Incorreta de Domínios de Email

2025-04-19

Uma vulnerabilidade de segurança foi descoberta no sistema de validação de domínio da SSL.com. Ao explorar o método BR 3.2.2.4.14 DCV (Email para DNS TXT Contact), um atacante pode enganar o sistema para verificar seu domínio de email, obtendo assim certificados não autorizados. Por exemplo, usando `[email protected]` como email de verificação, a SSL.com adicionou incorretamente `aliyun.com` à lista de domínios verificados, permitindo que o atacante obtivesse certificados para `aliyun.com` e `www.aliyun.com`. Isso indica uma falha em diferenciar com precisão entre o email de verificação e o domínio alvo, representando um risco de segurança significativo.

Leia mais
(bugzilla.mozilla.org)
Tecnologia validação de domínio

DigiCert tenta silenciar discussão aberta sobre questões de segurança WebPKI

2025-02-25

Após comentários do Diretor de Conformidade da Sectigo, Tim Callan, no fórum Bugzilla sobre as práticas de certificados da DigiCert, os advogados da DigiCert tentaram silenciar a discussão por meio da ameaça de ação judicial. O conselheiro geral da Sectigo, Brian Holland, respondeu que as declarações de Callan são protegidas pela Primeira Emenda e visavam promover um debate aberto sobre questões importantes do WebPKI. Holland argumenta que as ações da DigiCert prejudicam o sistema de autorregulação do WebPKI e apela para a atenção da indústria para evitar incidentes semelhantes. O incidente destaca a segurança e a transparência do WebPKI, e as responsabilidades e direitos das empresas no discurso público.

Leia mais
(bugzilla.mozilla.org)
Tecnologia Ação Judicial

A Tentativa Hilária de Honest Achmed de se Tornar uma Autoridade de Certificação Raiz da Mozilla

2025-01-18

Honest Achmed, um indivíduo, solicitou a adição de seu certificado raiz ao armazenamento confiável da Mozilla. Seu pedido, repleto de humor e ironia, detalhava um plano de negócios ambicioso: vender certificados suficientes para se tornar 'grande demais para falir', escapando assim da regulamentação. A Mozilla acabou rejeitando o pedido como inválido, mas o tópico do Bugzilla gerou uma discussão animada entre os desenvolvedores, repleta de piadas e comentários sobre o estado da indústria de Autoridades de Certificação.

Leia mais
(bugzilla.mozilla.org)
Diversos Certificado Raiz Autoridade de Certificação