コモドCAはA1テレコム・オーストリア間違ったドメインのSSL証明書によって発行されました
更新のMozilla のBugzilla レポートは表示され、ComodoのCAドメインの検証プロセスオートメーションエラー、ドメイン所有者にエラーがテレコムオーストリアのa1-telekom.eu非ドメイン発行したSSL証明書を。
問題は***、使用が原因となることができ、エラーの発行は、認証モードコモドは、アセンブリの画像で特定されたテキストをエラーOCR(光学式文字認識)組立自動化における検証プロセスを使用して、デジタル証明書を発行する自動化されたということです技術的に敏感なドメインのSSL証明書を取得するための抜け穴、.EU \ .be \ .ATや他のトップレベルドメインが影響を受けます。Rechenzentrum AGの2人の研究者は、9月中に問題を発見し、コモドに連絡したが、Comodoは速やかにユーザにこの問題の国際組織、またはパブリケーションに報告しなかったが、事件は公開情報の後、公開となりました。
OCRコンポーネント識別の問題、証明書エラーの発行をもたらします
人々は自分のドメインのためにコモドして、SSL証明書を申請する場合、彼らは、ドメイン名の真の所有者であることを証明するためには、ドメイン名のプロセスによって検証されなければなりません。
Comodoの電子メールアドレスのドメインの所有者を抽出することにより、ドメインの所有権、Whoisのレコードを検証するプロセスでと確認メールを送信します。.EU有するため、.be、.ATドメイン名と特定の他の拡張機能が自動的にすべての着信処理、検証情報がテキスト形式で格納されていないが、画像保存の方法によって、Comodoのテキストを識別するOCRコンポーネントを使用して画像をスキャンして登録しましたユーザーの要求。
試験は、番号「1」として識別される「O」(O小文字)のような問題、「L」(Lの小文字)を識別するために、OCR(光学文字認識)モジュールの存在を、その2人の研究者を発見しました"0"(番号0)。
2人の研究者は、コモドや会社のコンポーネントの開発には、エラーを実現し、これらの文字は、問題を特定して対処するためのいくつかの特別なルールを設定し、言います。それは文字が続く場合、後者は、「1」として識別される場合、コンポーネントは、文字の数が続くOCR 1/1を読み取る場合には、小文字のLを認識している; 0 / Oが同じルールです。
***他のサイトのSSL証明書を登録することができます
研究者は、OCRコンポーネントは、期待通りのWhois情報が間違っている読み、そして間違ったアドレスに送信された確認メールは、研究者はa1-telekom.euの証明書を取得するために、信頼できるリンクを使用し、altelekom.atを適用しました。***は、傍受と復号化HTTPS暗号化されたトラフィックに***仲介を使用することができます敏感ドメインSSL証明書を取得するために、この技術を使用することができます。
この問題は、問題の4つのすべての文字に関連付けられているドメインのみに影響を与えますが、問題が発行コモドのSSLでの長時間のシステム内に存在するが。Mozillaは現在、報告された修正の問題にもかかわらず、問題を調査しているが、その9月には、問題を報告していなかったので、Comodoは、ブラウザベンダーとのトラブルに巻き込まれる可能性があります。これは、Comodoの証明書が誤って発行した初めてではない、実際には、マルウェアの代理店に発行された場合されて何度もコモドの証明書が表示されます。