新聞
觀點
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
解決方案
活動
訂閱電子報
訂閱電子報
新聞
觀點
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
2025 / 04 / 23
編輯部
網路安全建立在信任之上,而憑證授權機構(Certificate Authority,簡稱CA)在這個系統中扮演關鍵角色。CA負責驗證網站身份並簽發SSL/TLS憑證,確保電腦與網站之間的通訊加密安全。
然而,近期知名憑證供應商SSL.com發現了嚴重的安全漏洞,引起關注。研究人員揭露了該公司網域控制驗證(Domain Control Validation,DCV)流程中的重大缺陷。
SSL.com原本允許用戶透過在DNS TXT記錄中建立_validation-contactemail,並使用聯絡郵件地址作為驗證方式。理論上,SSL.com會傳送驗證碼和URL以確認使用者控制網域。但由於系統設計缺陷,只要能接收與該網域相關的郵件,攻擊者就可能取得該網域的合法SSL憑證。
這一漏洞尤其危險,因為攻擊者無需完全控制目標網站,僅需取得與網域相關的任何郵件地址,甚至是免費郵件服務中的地址,就可能獲得看似合法的憑證。
安全研究人員已經證明了這一漏洞的嚴重性。例如,使用阿里雲的@aliyun.com郵件地址,成功為aliyun.com和www.aliyun.com取得了憑證。
攻擊者可能利用這些偽造憑證執行多種惡意行為。他們可以建立仿冒合法網站,盜取用戶憑證,攔截通訊,甚至實施中間人攻擊(Man-in-the-Middle Attack)。這種攻擊方式可能會危及用戶的敏感資訊和線上安全。
SSL.com已承認這一問題,並表示除了研究人員展示的測試憑證外,公司還誤發了十份類似憑證。這些憑證追溯至2024年6月,涉及多個網域,包括
medinet.ca、help.gurusoft.com.sg(兩次)、banners.betvictor.com、production-boomi.3day.com、kisales.com(四次)以及medc.kisales.com(四次)。
公司已立即停用了「郵件到DNS TXT聯絡人」的驗證方法,並澄清此問題未影響Entrust的系統和API。
為維護網站安全,專家建議採取多項防護措施。首要之策是使用CAA(Certification Authority Authorization)DNS記錄,限制可簽發憑證的授權機構。同時,企業應持續監控公開憑證日誌,及時發現未經授權的憑證。此外,加強與網站相關的郵件帳戶安全性也是降低風險的關鍵步驟。
本文轉載自hackread。
中間人攻擊
憑證授權機構
SSL/TLS憑證
最新活動
2026.07.22
2026 政府資安論壇
2026.07.14
2026迎戰合規新局上市櫃企業資安治理與風險評估實戰解析
2026.07.15
資安新興技術、AI應用與全球發展趨勢解析
2026.07.15
資安新興技術、AI應用與全球發展趨勢解析
2026.07.29
半導體與高科技園區資安防護
2026.07.30
Azure 雲端轉型研討會|雲端 x AI x 資安
看更多活動
大家都在看
超越人類監督:前沿 AI 時代的新挑戰與應對
中國 LLM 漏洞發現能力逼近前沿模型,專家憂攻守差距持續擴大
傳統防火牆只看 IP,語意防火牆看「意圖」:林宜隆教授解析神經符號架構與 AI 治理三標準如何聯手對抗工業化攻擊
從Root權限淪陷到弱密碼橫行 資安院揭露網通設備四大資安痛點
Jamf 推出 Mac 原生的 AI 治理解決方案
資安人科技網
文章推薦
代理式AI席捲企業系統,機器身分數量暴增,台灣資安主管準備好了嗎?
風險驅動治理:ISO 27005如何協助台灣A級機關與金融業資安合規
Cisco Connect 台北2026聚焦代理式 AI 創新,賦能台灣 AI 轉型