(https://i.postimg.cc/FzdkyvDL/Pc-Security.gif) (https://postimages.org/)
Una vulnerabilidad en SSL.com permitió a los atacantes emitir certificados SSL válidos para dominios importantes aprovechando un error en su método de verificación de dominio basado en correo electrónico.
La seguridad en internet se basa en la confianza, y la Autoridad de Certificación (CA) es clave en este sistema, ya que verifica las identidades de los sitios web y emite certificados SSL/TLS, que cifran la comunicación entre un ordenador y el sitio web.
Sin embargo, recientemente se detectó un grave problema con una de estas CA de confianza, SSL.com. Los investigadores descubrieron una falla en la forma en que SSL.com comprobaba si quien solicitaba un certificado controlaba realmente el nombre de dominio, un proceso denominado Validación de Control de Dominio (DCV).
SSL.com permite a los usuarios verificar el control del dominio y obtener un certificado TLS para conexiones HTTPS cifradas mediante la creación de un registro DNS TXT _validation-contactemail con la dirección de correo electrónico de contacto como valor. SSL.com envía un código y una URL para confirmar que el usuario controla el dominio. Sin embargo, debido a este error, SSL.com ahora considera al usuario como el propietario del dominio utilizado para el correo electrónico de contacto.
Esta falla se debe a la forma en que se utiliza el correo electrónico para verificar el control, en particular con los registros MX, que indican qué servidores reciben correo electrónico para ese dominio. Permitía que cualquiera recibiera correo electrónico en cualquier dirección asociada a un dominio, obteniendo potencialmente un certificado SSL válido para todo el dominio. Está específicamente relacionada con el método DCV BR 3.2.2.4.14, también conocido como "Correo electrónico a contacto DNS TXT".
Esto es crucial, ya que un atacante no necesitaría tener control total sobre un sitio web, por ejemplo, google.com, para obtener un certificado aparentemente legítimo, ya que basta con la dirección de correo electrónico de un empleado o incluso una dirección de correo electrónico gratuita vinculada de alguna manera al dominio.
Los actores maliciosos pueden usar certificados SSL válidos para crear versiones falsas de sitios web legítimos, robar credenciales, interceptar la comunicación de los usuarios y, potencialmente, robar información confidencial mediante un ataque de intermediario. Un investigador de seguridad, bajo el alias Sec Reporter, demostró esto utilizando una dirección de correo electrónico @aliyun.com (un servicio de correo web gestionado por Alibaba) para obtener certificados para aliyun.com y www.aliyun.com.
Esta vulnerabilidad afecta a organizaciones con direcciones de correo electrónico de acceso público, especialmente grandes empresas, dominios sin un control estricto de correo electrónico y dominios que utilizan registros DNS CAA (Autorización de Autoridad de Certificación).
SSL.com ha reconocido el problema y ha explicado que, además del certificado de prueba que obtuvo el investigador, había emitido por error otros diez certificados de la misma manera. Estos certificados, emitidos desde junio de 2024, correspondían a los siguientes dominios:
*. medinet.ca, help.gurusoft.com.sg (emitido dos veces), banners.betvictor.com, production-boomi.3day.com, kisales.com (emitido cuatro veces) y medc.kisales.com (emitido cuatro veces).
La empresa también deshabilitó el método de validación "Correo electrónico a contacto DNS TXT" y aclaró que "esto no afectó a los sistemas ni a las API utilizadas por Entrust".
Si bien el problema de SSL.com se ha resuelto, demuestra los pasos importantes para mantener la seguridad del sitio web. Los registros CAA deben utilizarse para indicar a los navegadores qué empresas pueden emitir certificados, los registros públicos deben supervisarse para detectar certificados no autorizados y las cuentas de correo electrónico vinculadas a sitios web deben ser seguras.
Fuente:
HackRead
https://hackread.com/ssl-com-vulnerability-fraud-ssl-certificates-domains/