10月20日,Mozilla更新的Bugzilla报告显示,ComodoCA的域名自动化验证过程出错,错误给非域名所有者签发了奥地利电信a1-telekom.eu的域名SSL证书。Comodo在验证域名所有权的过程中,通过Whois记录提取域名所有者的电子邮件地址,并发送验证邮件。对于以.eu,.be,.at和其他扩展名注册的某些域名,验证信息不以文本格式存储,而是通过图像方式存储,Comodo使用OCR(光学字符识别)组件扫描图片并识别文本,自动处理所有传入的用户请求。
根据两个研究人员的测试发现,这个OCR(光学字符识别)模块存在识别问题,将“l”(L的小写字母)识别为数字“1”,将“o”(O的小写字母)识别为“0”(数字0)。
研究人员申请了altelekom.at,OCR组件按预期错读了Whois信息,并将确认邮件发送到错误的地址,研究人员使用链接从而获得a1-telekom.eu的受信任证书。