После передачи права собственности на домен цифровые сертификаты, обеспечивающие безопасную передачу данных через интернет, могут представлять угрозу безопасности для новых владельцев.
Исследователи безопасности Иэн Фостер (Ian Foster) и Дилан Эйри (Dylan Ayrey) обнаружили , что в некоторых случаях цифровые сертификаты остаются действительными даже по истечении срока регистрации домена. Когда новый владелец регистрирует домен, связанный с ним SSL-сертификат по-прежнему принадлежит предыдущему. Благодаря этому предыдущий владелец домена может осуществлять атаку «человек посередине» и расшифровывать трафик, проходящий между клиентом и сервером.
Предыдущий собственник также может осуществить DoS-атаку, если под одним сертификатом в качестве альтернативных имен определяются дополнительные доменные имена. Если альтернативный сайт больше не принадлежит пользователю сертификата, можно отозвать сертификат, имеющий как альтернативное имя, так и другие домены. «Вы можете вызвать отказ в обслуживании сервиса, если все еще используется общий сертификат», — пояснили исследователи.
Источник: securitylab.ru