Windows Live 最近遭遇了一个安全事件,因为他们没有意识到像这样的电子邮件地址administrator@live.fi被认为是“受信任的”:一些证书颁发机构会认为任何人都可以控制该电子邮件地址成为域的所有者live.fi。
如何获取被视为“受信任”的电子邮件地址列表?或者,换句话说,如果我想允许不受信任的用户在我的域中获取电子邮件地址,我需要哪些电子邮件地址来阻止他们获取?我从哪里可以得到所有可能被某人信任的特殊电子邮件地址的列表?当然,有许多证书颁发机构,因此,此列表至少需要包括任何地方的任何证书颁发机构信任的所有内容的联合。
我知道RFC 2142列出了一些保留的电子邮件地址,但看起来这还不够:一些证书颁发机构信任不在此列表中的其他电子邮件地址。
相关但不相同:在 Internet 上搜索保留用户名列表和要阻止的用户名列表时,我发现了以下附加资源:是否有要在新系统中保留的常用用户名列表?,应该比的名单,kwappa的名单。
这是一个相当短的列表:“admin”、“administrator”、“webmaster”、“hostmaster”或“postmaster”
现在这是固定和静态列表。但是:来自 WHOIS 的联系信息也是合法的。
来自 CAB 论坛的基线要求,第 17 页:
11.1.1 域名注册人的授权
对于证书中列出的每个完全限定域名,CA 应确认,自证书颁发之日起,申请人(或申请人的母公司、子公司或关联公司,在本节中统称为“申请人”)是域名注册人或通过以下方式控制 FQDN:[...]
使用 WHOIS 记录的“注册人”、“技术”或“管理”字段中列出的联系信息直接与域名注册人沟通;
使用通过在本地部分前置“admin”、“administrator”、“webmaster”、“hostmaster”或“postmaster”创建的电子邮件地址与域管理员通信,后跟 at 符号 (“@”) ,后跟域名,可以通过从请求的 FQDN 中修剪零个或多个组件来形成;
编辑 2015-03-21:委托博客。这是一个不错的博客条目,带有一些背景故事。
Bruce Morton,Entrust Identity ON Blog,2015-03-20,Live.fi 发生了什么?(存档在这里。)
有趣的引用在这里:
我们所说的攻击在 2009 年之前就已经进行过。它是针对 RapidSSL CA 进行的,他们提供了 14 个电子邮件地址供订阅者选择。在这种情况下,攻击还针对另一个 Microsoft 域 login.live.com,其中订阅者注册了 sslcertificate@live.com,然后使用他们控制的电子邮件地址请求证书。这造成了限制电子邮件地址的安全性。
2015-03-24 编辑:WHOIS “基线要求”还允许来自 WHOIS 记录的电子邮件地址。我已经在上面更新了这个。
参与此次惨败的 Comodo 信任以下电子邮件地址进行域验证:
在实践中,回复发送到任何电子邮件地址的电子邮件的能力根本无法证明,即使您拥有相关电子邮件地址也是如此。所有电子邮件都可能被实际控制其通过的邮件服务器的人篡改。
如果我对域 foo.com 具有 root 访问权限,则我可以绝对控制在那里发送或发源于那里的所有电子邮件。同样,如果我是一个为 gmail 工作的低级极客,我可能会实施一个基于 gmail 帐户虹吸的整洁骗局,如果不是为了谷歌万无一失的内部安全。