SSL.com域名验证存在严重漏洞

近日，安全研究人员发现SSL.com在基于电子邮件的域名验证（DCV）流程中存在严重缺陷，允许攻击者利用关联域名的任意邮箱获取合法SSL证书。漏洞核心在于其 "Email到DNS TXT Contact "验证方法（BR 3.2.2.4.14）错误将邮箱接收者视为域名所有者，未严格验证实际控制权。此漏洞影响具有公开可访问电子邮件地址的企业，特别是大型公司、没有严格电子邮件控制的域以及使用CAA DNS记录的域。SSL.com已禁用问题验证方法，建议企业加强CAA记录管控、监控证书透明日志，并严格管理域名关联邮箱。