Уязвимость в сервисе StartSSL (StartCom), который осуществляет выдачу SSL–сертификатов, была зафиксирована независимым исследователем Осамой Альманной. С помощью ошибки в системе валидации доменов злоумышленник может получить сертификат для любого домена.
StartCom является шестым по величине центром сертификации в мире. Такой уровень популярности StartCom обусловлен в том числе тем, что сервис занимается выдачей бесплатных сертификатов. Однако данный процесс имеет свои особенности. В обычных случаях для того, чтобы подтвердить владение доменом, администратор должен разместить на сайте определенный файл. В StartSSL валидация осуществляется с помощью электронной почты, используя список адресов, заданных сервисом. На домене должны быть размещены почтовые ящики Hostmaster, Postmaster или Webmaster, чтобы сервис мог отправить на один из них специальное письмо, содержащее код верификации.
Проблемы данного механизма связаны, как выяснил Альманна, не только с его неудобством, но и с наличием уязвимости. Эксперт смог обмануть систему валидации домена, поскольку проверка введенной информации ведется некорректно. Альманна подменил адрес, заданный сервисом, на свой, в результате чего письмо с кодом пришло на сторонний электронный почтовый ящик. Таким образом все желающие могут осуществить регистрацию SSL-сертификата для любого домена.
По словам Альманны, он уже сообщил о проблеме специалистам StartCom, которые оперативно отреагировали, исправив уязвимость за несколько часов. Несмотря на это, необычный механизм верификации владения доменом применяется в StartSSL очень давно, поэтому вполне вероятно, что проблема уже была найдена, и злоумышленники имеют в своем распоряжении большое количество SSL-сертификатов для чужих доменов.