headless 曰く、

世界最大の認証局ComodoでSSL証明書発行手続きに不備があり、一部のドメインで正規の所有者以外がSSL証明書を取得できる状態にあったそうだ(Incident Report — OCR、 Softpediaの記事、 The Registerの記事、 heise Securityの記事)。

ComodoではSSL証明書のリクエストがあるとWHOISデータベースからドメイン所有者の電子メールアドレスを取得し、確認の電子メールを返信する。一連の処理は自動化されているのだが、一部のTLD(.euおよび.be)に関しては電子メールアドレスがテキストで保存されておらず、画像に書き込まれた状態になっているのだという。

そのため、ComodoではOCRソフトウェアを使用してテキストを抽出し、ドメイン所有者に連絡を行っていたそうだ。しかし、このOCRソフトウェアでは数字の「1」と小文字の「l」、数字の「0」と小文字の「o」を正しく識別できなかったため、これらの文字に続く文字が英字の場合は英字として、数字の場合は数字として識別する仕組みを採用していた。

問題を発見した2人のセキュリティ研究者はオーストリアのプロバイダーA1 Telekomのドメイン「a1-telekom.eu」を実証に使用。このドメインでは連絡先の電子メールアドレスが「...@a1tekekom.at」(A1TELEKOM.at)となっている。

そこで、研究者はドメイン「altelekom.at」(ALTELEKOM.at)を取得して連絡先に「...@altekekom.at」を設定し、Comodoにa1-telekom.euのSSL証明書をリクエストする。その結果、取得したドメインの連絡先に確認の電子メールが届き、a1-telekom.euのSSL証明書を取得できてしまったとのこと。

この問題を指摘されたComodoではOCRソフトウェアの使用を中止し、.beドメインと.euドメインに対してOCRソフトウェアで処理を行っていた7月27日から9月28日までのSSL証明書発行状況を調査。このほかのドメインについてOCRソフトウェアの誤認識によるSSL証明書発行は確認されなかったとのことだ。