728x90
개요
- SSL 인증서 발급 기관은 인증서 발급을 위해 ‘이메일 인증’을 지원
- 인증에 이용되는 이메일 주소가 공격자 또는 제3자에 의해 사용이 가능할 경우, SSL 인증서 발급을 통해 HTTPS 통신 데이터의 변조 등이 가능[1]
설명
- SSL 인증서 발급 기관은 이메일 인증을 사용할 수 있는 관리자용 이메일 계정을 특정 계정(admin@yourdomain.com 등)으로 제한하여 인증을 제공
- 인증서 발급 기관에서 허용한 관리자용 이메일 주소를 공격자 또는 제3자가 사용이 가능한 경우, 해당 이메일을 통해 유효한 SSL 인증서를 발급받아 사용자 모르게 HTTPS 통신 내용을 변조하거나 도청
해결 방안
- 이메일 계정을 생성하는 관리자는 SSL 인증서 발급 기관이 허용한 특정 이메일 계정의 생성을 제한
- 일반 사용자에 대해 SSL 인증서 발급 기관이 허용한 특정 이메일 계정 생성을 제한하고 이미 일반 사용자에게 해당 계정이 생성되어 있을 경우 계정에 대한 비활성화를 권고※ 인증서 발급기관마다 허용하고 있는 이메일 계정은 상이하나 주로 사용되는 계정은 admin, administrator, webmaster, hostmaster, postmaster,root, ssladmin, info, is, it, mis, ssladministrator, sslwebmaster 등이 있음※ 인증서 발급을 위한 이메일 계정 정보 참고*COMODO(Root CA)의 인증서 발급을 위한 메일 계정 : 참고사이트 [2]*BUYhttp(SSL 리셀러)의 인증서 발급을 위한 메일 계정 : 참고사이트 [3]
용어 정리
- SSL(Secure Socket Layer) 인증서 : HTTPS 등 암호화된 통신을 위해 인증기관이 발급해주는 디지털 인증서
[참고사이트]
[1] http://www.kb.cert.org/vuls/id/591120
[2]https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/791/16/alternative-methods-of-domain-control-validation-dcv
[3]http://account.buyhttp.com/knowledgebase/753/Which-email-address-can-approve-SSL-certificate-order.html
728x90
'취약점 정보1' 카테고리의 다른 글
Multiple Vulnerabilities in OpenSSL (March 2015) Affecting Cisco Products (0) | 2015.04.02 |
---|---|
Multiple SSL certificate authorities use email addresses as proof of domain ownership (0) | 2015.03.30 |
OpenSSL Releases Patches to Address “Severe” Security Holes (0) | 2015.03.20 |
Exploit Kits and Malvertising (0) | 2015.03.18 |
Google Service Interruption Due To BGP Failure (0) | 2015.03.16 |