Osama almanna's blogにて、StartSSLにドメイン認証に脆弱性があったと報告されています。 In 9 March, 2016 During my research I was able to replicate the attack and issue valid certificates without verifying the ownership of the website which I will explain later in my post, the vulnerability was reported and fixed within hours. ウェブサイトの所有権を検証しないで、正当な証明書が交付されるというものですね。脆弱性は報告の後数時間で修正されたとのことです。 以下、彼のブログ記事を元に、脆弱性の内容と修正方法について説明します。 問題
![StartSSLにドメイン認証不備の脆弱性](https://cdn-ak-scissors.b.st-hatena.com/image/square/197f68c13c0f75b31e36f441d82d922459ed7e57/height=288;version=1;width=512/https%3A%2F%2F4.bp.blogspot.com%2F-9WUzal4OLMs%2FVvH8vJ1QVYI%2FAAAAAAAAN4g%2FwHem1X4EDMkolMbmY4jP8Co6PLnmT30ig%2Fw1200-h630-p-k-no-nu%2Fstartssl101.png)