Certificaatautoriteit SSL.com heeft door een bug een tls-certificaat voor de mail- en clouddienst van Alibaba verstrekt aan een onderzoeker. In totaal bleken elf certificaten ten onrechte zijn uitgegeven, die inmiddels allemaal zijn ingetrokken, zo laat de certificaatautoriteit in een incidentrapport weten. Tls-certificaten zorgen voor een versleutelde verbinding tussen website en bezoekers en maken het mogelijk om websites te identificeren.

Ten onrechte uitgegeven certificaten zijn bijvoorbeeld te gebruiken voor man-in-the-middle- en phishingaanvallen. Om te controleren of de partij die een tls-certificaat aanvraagt ook de eigenaar is van het domein waarvoor het certificaat wordt aangevraagd, beschikken certificaatautoriteiten over verschillende methodes. In de implementatie van één van deze methodes, Email Challenge Response, had SSL.com een fout gemaakt.

Bij deze optie moet een DNS TXT record voor het domein worden aangemaakt met daarin een specifiek e-mailadres. Vervolgens kan de aanvrager een certificaat voor dit domein aanvragen. SSL.com stuurt naar het opgegeven, aangemaakte e-mailadres een code en link. Vervolgens kan via de link een code worden opgegeven, waarmee de aanvrager aangeeft eigenaar van het domein te zijn.

SSL.com verstrekte echter ook het tls-certificaat als de aanvrager alleen e-mail voor het opgegeven domein kon ontvangen. De onderzoeker gebruikte een e-mailadres eindigend op @aliyun.com. Dit is de mail- en clouddienst van internetgigant Alibaba. Het is eenvoudig om bij deze dienst een e-mailadres aan te maken, net zoals een adres eindigend op @Yahoo.com of @Gmail.com.

Hoewel de onderzoeker geen controle over het domein aliyun.com heeft en ook niet het benodigde TXT record kon aanmaken, kon hij wel voor zijn eigen @aliyun.com e-mailadres mail ontvangen en dat adres gebruiken voor het aanvragen van een tls-certificaat voor aliyun.com en www.aliyun.com. Vervolgens ontving hij deze certificaten ook. Volgens de onderzoeker markeert SSL.com ten onrechte de hostnaam van het e-mailadres van de 'approver' als een geverifieerd domein. "Wat compleet fout is", aldus de onderzoeker.

SSL.com erkent de fout en heeft de betreffende methode om eigenaarschap van een domein te valideren uitgeschakeld. "We begrijpen de zorgen van de community", aldus de certificaatautoriteit. In totaal blijken er op deze manier elf certificaten ten onrechte zijn uitgegeven. Deze zijn volgens SSL.com inmiddels allemaal ingetrokken.