SSL.com, un fournisseur de certificats SSL/TLS, est soupçonné de présenter une faille de sécurité dans sa méthode de validation de domaine. Jusqu’au 19 avril 2025, lors de l’utilisation de la méthode de validation de domaine 3.2.2.4.14, SSL.com traite les demandes de certificat de manière à émettre un certificat TLS de confiance pour le nom de domaine d’une adresse e-mail du demandeur. Cela peut se produire même lorsque le demandeur n’a pas établi le contrôle administratif de ce domaine. Cette faille pourrait permettre à des acteurs malveillants de demander et obtenir des certificats pour des domaines qu’ils ne contrôlent pas, créant ainsi un risque de phishing et d’autres attaques.
Il est recommandé aux utilisateurs de SSL.com de faire preuve de vigilance et de s’assurer qu’ils ont bien le contrôle administratif des domaines pour lesquels ils demandent des certificats. SSL.com doit également prendre des mesures pour corriger cette faille de sécurité et garantir la fiabilité de son processus de validation de domaine.
🔗 Source originale : https://bugzilla.mozilla.org/show_bug.cgi?id=1961406