世界最大の認証局ComodoでSSL証明書発行手続きに不備があり、一部のドメインで正規の所有者以外がSSL証明書を取得できる状態にあったそうだ(Incident Report — OCR、 Softpediaの記事、 The Registerの記事、 heise Securityの記事)。 ComodoではSSL証明書のリクエストがあるとWHOISデータベースからドメイン所有者の電子メールアドレスを取得し、確認の電子メールを返信する。一連の処理は自動化されているのだが、一部のTLD(.euおよび.be)に関しては電子メールアドレスがテキストで保存されておらず、画像に書き込まれた状態になっているのだという。 そのため、ComodoではOCRソフトウェアを使用してテキストを抽出し、ドメイン所有者に連絡を行っていたそうだ。しかし、このOCRソフトウェアでは数字の「1」と小文字の「l」、数字の「0
![Comodo、OCRの誤認識により一部ドメインで正規所有者以外がSSL証明書を取得できる状態だった | スラド セキュリティ](https://cdn-ak-scissors.b.st-hatena.com/image/square/7a78f986221d580635b12a604de6b04869631eb6/height=288;version=1;width=512/https%3A%2F%2Fimages.srad.jp%2Ftopics%2Fencryption_64.png)