【安全资讯】SSL.com证书验证漏洞导致数字证书被滥发

概要：

近期，SSL.com的域名验证系统出现漏洞，黑客利用该漏洞未经授权获取了多个合法网站的数字证书。这一事件不仅影响了网站的安全性，还可能导致用户信息被窃取，给网络安全带来了严重威胁。

主要内容：

SSL.com的漏洞源于其在验证域名所有权时的错误实现。攻击者只需创建一个特定的DNS TXT记录，并提供一个有效的联系邮箱地址，便可请求并获得针对其他域名的TLS证书。研究人员“Sec Reporter”展示了这一过程，成功获取了阿里云的证书，表明该漏洞的严重性。

SSL.com在发现这一问题后，已撤销了11个错误颁发的证书，其中包括针对阿里云的证书。该漏洞使得任何掌握这一验证过程的人都能请求并获得他人网站的TLS证书，从而可能实施中间人攻击、钓鱼等恶意行为。SSL.com的技术合规官Rebecca Kelley确认了这一问题，并表示该验证方法已被禁用，直到修复漏洞为止。

此次事件引发了对SSL证书颁发流程的广泛关注，安全专家呼吁加强对证书颁发机构的审查，以防止类似事件再次发生。SSL.com承诺将对此事件进行全面调查，并在5月2日前发布详细报告。