免费SSL工具有漏洞 黑客可获取任何域名的SSL证书

本文涉及的产品
.cn 域名,1个 12个月
简介:

0000

荷兰安全公司CompuTest的安全研究员Thijs Alkemade在以色列公司StarCom创建的发布免费SSL证书的工具StartEncrypt中发现多个设计和执行缺陷。

StarCom受到Let’s Encrypt项目的启发,在6月4日推出StarEncrypt项目。想要部署免费StartSSL证书的用户只需下载一个Linux客户端并将其上传 到服务器即可。这个客户端会执行一个域名验证流程,通知StartSSL服务,随后为运行在服务器上的域名发布并安装一个“扩展验证”SSL证书。

StartEncrypt含有设计和执行缺陷

CompuTest公司指出,这个验证进程中存在缺陷,而且服务器所有者只需通过一些小技术就能接收到其它域名的SSL证书如脸书、谷歌、Dropbox等等,随后这些证书就会出现在黑市上或者被用于中间人攻击中。

研究人员发现的第一个漏洞是设计问题,用户能够手动配置客户端从服务器下载签名的文件夹。攻击者只需将工具指向托管着另外一个域名的签名的服务器上的一个文件夹。这些域名签名能够从允许用户上传文件的站点如GitHub、Dropbox等中被提取出来。

第二个问题更加严重,因为它允许攻击者获取更多域名的SSL证书。研究人员指出,其中一个API验证调用中包含一个名为“verifyRes”的参 数,它接受URL作为输入。也就是说客户端易受开放重定向漏洞的影响,攻击者能够伪造这个请求并且将工具指向不受控制的服务器中。但是这种功能也不是那么 容易就被利用。攻击者需要将工具指向的域名URL必须(1)允许用户上传文件并以原始格式返回;或者(2)包含自身的开放重定向问题。

虽然第一个条件很少见,但是第二个并非如此。所有支持OAuth 2.0即支持社交登录功能的标准的网站必须允许能让该协议正常起作用的开放重定向。利用这个OAuth 2,0和StartEncrypt客户端的犯罪分子能够哄骗StartSSL服务以他的名义为任何支持OAuth 2.0的网站发布免费的SSL服务如脸书、推特、雅虎、微软等。

其它问题

此外,CompuTest还发现StartEncrypt并没有检查自己服务器证书连接到API时的有效性,也就是说犯罪分子能够接收到验证请求并为试图使用StartEncrypt的用户发布错误的SSL证书。

API也不会验证其为了验证而下载的内容文件,这样攻击者就能够以第三方网站的名义获取证书。用户能够上传形象化符号、证书私钥。此外,跟 Let’s Encrypt项目一样的是,StartEncrypt易受“重复签名密钥选择(Duplicate-Signature Key Selection)”攻击的影响。安全研究人员认为StartCom并未从Let’s Encrypt项目中汲取经验教训。

StartCom已经发布了StartEncrypt Linux客户端新版本,序列号仍为1.0.0.1。CompuTest指出已将其它问题报告给了该公司,该公司随后将会提供修复方案。

今年3月份,StartSSL曾面临着一个类似问题,允许犯罪分子得到他们并不拥有的域名的SSL证书。





====================================分割线================================


本文转自d1net(转载)

目录
相关文章
|
9天前
|
Web App开发 安全 网络协议
多域名 SSL 证书是什么? 多域名 SSL 证书申请流程
多域名SSL证书是保护多个网站时的高效选择,它使得单个证书能够保护多个域名(网站)。这种证书通过在用户的Web浏览器和托管网站的服务器之间建立安全的加密连接,确保了敏感信息(包括登录凭证、信用卡信息和其他个人数据)的安全传输。
330 1
|
1月前
|
安全 网络安全 数据安全/隐私保护
单域名、多域名、通配符 SSL 证书,你选对了吗?
SSL证书是保护上网安全的重要工具,相当于网站的身份证,确保信息不被窃取。单域名证书保护一个网站,多域名证书可保护多个网站,通配符证书则保护主域名下的所有子域名。选择哪种证书取决于网站规模和需求
|
1月前
|
安全 数据建模 测试技术
只有ip没有域名怎么申请SSL
在没有域名只有IP地址的情况下,仍可申请SSL证书。需确保拥有固定公网IP地址和服务器管理权限,选择支持IP SSL证书的CA(如JoySSL),完成注册、购买、验证、安装和测试等步骤,实现HTTPS加密访问。注意证书有效期、兼容性和安全性。
|
2月前
|
安全 应用服务中间件 Shell
nginx配置https的ssl证书和域名
nginx配置https的ssl证书和域名
|
2月前
|
网络安全
阿里云国际版如何为SSL证书更换域名?
阿里云国际版如何为SSL证书更换域名?
|
4月前
|
安全 数据建模 网络安全
阿里云SSL证书价格多少钱一年?单域名和通配符收费明细整理
阿里云提供多样化的SSL证书服务,包括免费及付费选项。免费版由DigiCert提供,适合基本需求,有效期为3个月。付费证书品牌涵盖WoSign、DigiCert、GlobalSign等,价格从238元/年起。不同品牌与类型的证书(如DV、OV、EV)费用各异,满足各类安全需求。详情及最新价格请访问阿里云官方页面。
|
5月前
|
安全 数据建模 网络安全
便宜多域名SSL证书申请平台推荐
【7月更文挑战第25天】
78 1
|
25天前
|
安全 网络安全 数据安全/隐私保护
SSL/TLS证书**是一种用于加密网络通信的数字证书
SSL/TLS证书**是一种用于加密网络通信的数字证书
74 6
|
5天前
|
存储 监控 安全
告别手动续签烦恼:一键实现免费SSL证书自动更新
告别手动续签烦恼,一键实现免费SSL证书自动更新。通过自动化续签过程,减少人为错误,提高安全性,节省时间,确保网站始终提供安全、可信的服务。选择支持自动续签的证书颁发机构,并配置相应的工具,轻松管理SSL证书。
|
6天前
|
安全 应用服务中间件 网络安全
实战经验分享:利用免费SSL证书构建安全可靠的Web应用
本文分享了利用免费SSL证书构建安全Web应用的实战经验,涵盖选择合适的证书颁发机构、申请与获取证书、配置Web服务器、优化安全性及实际案例。帮助开发者提升应用安全性,增强用户信任。