Comodo OCR验证问题导致证书签发给错误方

851517367_2894476660636874443

【博闻社】10月20日,Mozilla更新的Bugzilla报告显示,Comodo CA的域名自动化验证过程出错,错误给非域名所有者签发了奥地利电信a1-telekom.eu的域名SSL证书。

Comodo在验证域名所有权的过程中,通过Whois记录提取域名所有者的电子邮件地址,并发送验证邮件。

对于以.eu,.be,.at和其他扩展名注册的某些域名,验证信息不以文本格式存储,而是通过图像方式存储,Comodo使用OCR(光学字符识别)组件扫描图片并识别文本,自动处理所有传入的用户请求。根据两个研究人员的测试发现,这个OCR(光学字符识别)模块存在识别问题,将“l”(L的小写字母)识别为数字“1”,将“o”(O的小写字母)识别为“0”(数字0)。

研究人员申请了altelekom.at,OCR组件按预期错读了Whois信息,并将确认邮件发送到错误的地址,研究人员使用链接从而获得a1-telekom.eu的受信任证书。