複数のSSL認証局でドメイン所有者の証明にメールアドレスを使用している問題を確認
複数のSSL認証局でドメイン所有者の証明にメールアドレスを使用している問題が確認された。クライアントが暗号化と認証のためにSSLまたはTLSを使用するHTTPSでリソースにアクセスする際、クライアントはサーバによって提供される証明書により認証される。特にルート認証局に発行される証明書が信頼されており、この信頼はルート認証局がドメインオーナーのリクエストに対しきちんと確認を行ったという前提のもと証明書が発行される。多くのルート認証局はドメイン認証型又は類似したSSL認証を使用しているが、これらの証明書はドメイン管理者の最小限の証明によって発行されている。いくつかのケースではドメイン名の特定のメールアドレスだけでSSL証明書が提供されている。RFC2142ではDNS関連のサービスに使用すべきメールアドレスはhostmasterであるとし、Mozilla CA Certificate Inclusion PolicyやCA/Browser Forum baseline requirements documentsではadmin、administrator、webmaster、hostmaster、postmasterがドメイン所有者の証明として使用できるとしている。しかし、いくつかの認証局では他のメールアドレスでもドメイン所有者の証明として許可されている。メールサービスを提供するWebサイトのドメインはリスクが高く、もし第三者がルート認証局で使用しているメールアドレスを不正入手すれば、不正にドメインの証明書が発行される恐れがある。悪用されると、攻撃者は第三者が所持するドメイン証明書を不当に入手でき、この証明書でHTTPSサイトを偽装したり、クライアントに証明書の警告なしにHTTPSが傍受される恐れがある。現在この問題対する解決策はないが、回避策として、ルート認証局で証明書発行の際に使用しているメールアドレスはユーザに提供しないよう呼びかけている。
