Veel certificaatautoriteiten (CA's) die SSL-certificaten uitgegeven kijken alleen naar het bezit van verschillende e-mailadressen, waardoor een aanvaller legitieme SSL-certificaten in handen kan krijgen die vervolgens voor phishingaanvallen en Man-in-the-Middle-aanvallen kunnen worden gebruikt.

Daarvoor waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Onlangs slaagden internetgebruikers erin om SSL-certificaten voor domeinen van Microsoft en XS4ALL aan te vragen. In het geval van Microsoft had een Finse systeembeheerder de alias hostmaster@live.fi aangemaakt, terwijl een klant van XS4ALL.nl de alias administrator@xs4all.nl kon instellen. Beide gebruikers benaderden vervolgens een CA en konden via de aliassen bevestigen dat ze de eigenaar van het domein waren, waarop ze het SSL-certificaat met bijbehorende privésleutel kregen.

Volgens het CERT/CC lopen vooral domeinen die voor e-maildoeleinden worden gebruikt een verhoogd risico. "Als een gebruiker één van de beschikbare adressen kan registreren die een root CA voor het aanvragen van SSL-certificaten accepteert, dan kan die gebruiker geldige SSL-certificaten voor dat domein aanschaffen." Doordat het om een geldig SSL-certificaat gaat zal de browser, indien het certificaat voor een aanval wordt gebruikt, geen alarm slaan.

Geen oplossing

Het CERT/CC heeft op dit moment nog geen praktische oplossing. Wel wordt er aangeraden om toegang tot gevoelige accounts te blokkeren, zoals admin, administrator, webmaster, hostmaster en postmaster @domeinnaam, maar ook root, ssladmin, info, is, it, mis, ssladministrator en sslwebmaster @domeinnaam. In het geval deze e-mailadressen of aliassen al door gebruikers zijn geregistreerd moeten die accounts worden uitgeschakeld, aldus het advies van het CERT/CC. De organisatie heeft een overzicht van CA's gepubliceerd, waaruit blijkt dat het probleem bij een groot aantal partijen speelt.