La autoridad de certificado prominente (SSL.com) ha revelado una vulnerabilidad de seguridad crítica en el sistema de validación de dominio que permite a los atacantes obtener certificados Rogue SSL para dominios no propiedad de atacantes.
Este defecto fue reportado por David Zhao, un investigador senior en el equipo de seguridad cibernética de Citadelcore. Mostró cómo operar el sistema para emitir certificados para Alibaba Cloud Domain (Aliyun.com).
Importantes fallas de implementación de DCV
Según Reister, la vulnerabilidad se atribuye a la implementación incorrecta del método de validación de control de dominio (DCV) 3.2.2.4.14, conocido como “Correo electrónico a los contactos DNS TXT”.
El sistema de verificación de SSL.com ha marcado incorrectamente el nombre de host de la dirección de correo electrónico del aprobador como un dominio que ha sido verificado para una desviación grave del protocolo de seguridad apropiado.
Los investigadores proporcionaron una demostración detallada de prueba de concepto que muestra cómo se pueden explotar los defectos.
Configuración del registro de DNS TXT (_Validation-ContactEmail) para crear un dominio de prueba con DCV-inspector.com Complete el proceso de verificación de correo electrónico utilizando Aliyun.com, un dominio que solicita un certificado para el dominio de prueba de SSL.com. Observé que SSL.com agregó accidentalmente aliyun.com (el dominio de correo electrónico) al dominio verificado. Hemos solicitado y recibido con éxito certificados de Aliyun.com y www.aliyun.com.
“SSL.com ha confirmado y publicado Aliyun.com. No soy administrador, administrador, mostidor, jefe de correos o webmaster de aliyun.com.
SSL.com respondió rápidamente a las divulgaciones, reconoció el problema y tomó medidas inmediatas.
Rebecca Kelley, asignada para manejar el caso, anunció que había deshabilitado el método de validación de dominio 3.2.2.4.14, que se utilizó en informes de errores para todos los certificados SSL/TLS mientras la compañía estaba investigando el problema.
En un informe de incidente preliminar publicado dentro de las 24 horas, SSL.com confirmó que la vulnerabilidad violó la cláusula de la Declaración de Política de certificado y práctica de certificación (CP/CPS).
Después de escanear la base de datos de certificados, identificaron diez certificados afectados adicionales, superando lo que informaron los investigadores.
“La evidencia histórica indica que, con la excepción de un certificado, SSL.com emitió certificados anteriores utilizando evidencia de DCV que cumplía durante la emisión inicial de un certificado que se refiere a un maldito injusto”, explicó Kelly.
“Desafortunadamente, una vez que el certificado se renovó/volvió a emitir, parece que el certificado afectado se emitió en función de la evidencia de DCV inválida”.
Esta vulnerabilidad representa una seria amenaza para la infraestructura de seguridad web. Los certificados SSL/TLS actúan como la base de la confianza en Internet, verificando la identidad de su sitio web y habilitando conexiones cifradas.
La capacidad de obtener certificados fraudulentos puede permitir que los atacantes se esfuerzen sitios web legales, participar en ataques intermitentes e interceptar comunicaciones cifradas.
SSL.com dijo que “manejará este caso con la máxima prioridad”. La compañía se ha comprometido a proporcionar un informe de caso completo antes del 2 de mayo de 2025.
El evento destaca la necesidad de una vigilancia continua tanto de las autoridades de certificados como de los propietarios de dominios, así como la importancia de la detección rápida y la mejora de las vulnerabilidades para mantener la confianza en la infraestructura clave pública que protege a Internet.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
