メールアドレスのみの確認でSSL証明書を発行している認証局における問題

　

　insiderman 曰く、

　SSL証明書を発行する場合、認証局はその依頼者がドメインの管理者であることを確認する必要があるが、この際にメールアドレスによる簡単な確認のみで証明書が発行されるケースが問題視されている（JVNVU#92002857）。

　指摘されているのは、ユーザーにメールアドレスを発行するようなサービスを運営するホストでの危険性。たとえば「BuyHTTP」という証明書発行サービスでは、adminやadministrator、webmaster、hostmaster、postmaster、root、ssladmin、info、is、it、mis、ssladministrator、sslwebmasterといったアカウント名＋@ドメイン名、というメールアドレスでの確認のみで証明書を購入できるという。こういったメールアドレスをユーザーが取得できてしまうと、第三者が勝手にそのドメインでのSSL証明書を入手できる可能性がある。