Quali indirizzi email sono considerati attendibili?

Naviga le tue risposte
14

Windows Live recentemente ha subito una sicurezza incidente perché non si sono resi conto che gli indirizzi email come [email protected] sono considerati "attendibili": alcune autorità di certificazione considereranno chiunque può controllare quell'indirizzo email come proprietario del dominio live.fi .

Come posso ottenere un elenco di indirizzi email considerati "attendibili"? O, in altre parole, se voglio consentire agli utenti non fidati di ottenere indirizzi email nel mio dominio, quali indirizzi email devo impedire loro di ottenere? Dove posso ottenere un elenco di tutti quegli indirizzi e-mail speciali che potrebbero essere considerati affidabili da qualcuno? Naturalmente, ci sono molte autorità di certificazione, quindi, come minimo, questo elenco dovrebbe includere l'unione di tutto ciò che è considerato affidabile da qualsiasi autorità di certificazione ovunque.

So che RFC 2142 elenca alcuni indirizzi email riservati, ma sembra che questo non sia sufficiente: alcune autorità di certificazione si fidano ulteriori indirizzi email non presenti in questo elenco.

Correlati ma non uguali: durante la ricerca su Internet di elenchi di nomi utente riservati e liste di nomi utente da bloccare, ho trovato le seguenti risorse aggiuntive: C'è un elenco di nomi utente comuni da prenotare in un nuovo sistema? , elenco di shouldbee , elenco di kwappa .

    
posta D.W. 19.03.2015 - 17:18
fonte

3 risposte

9

È una lista piuttosto breve: "Admin", "administrator", "webmaster", "hostmaster" o "postmaster"

Questa è la lista fissa e statica. Ma: le informazioni di contatto di WHOIS sono anche legali.

Dai requisiti della linea di base , pagina 17 del CAB-Forum: pagina 17:

11.1.1 Authorization by Domain Name Registrant
For each Fully-Qualified Domain Name listed in a Certificate, the CA SHALL confirm that, as of the date the Certificate was issued, the Applicant (or the Applicant’s Parent Company, Subsidiary Company, or Affiliate, collectively referred to as “Applicant” for the purposes of this section) either is the Domain Name Registrant or has control over the FQDN by: [...]

  1. Communicating directly with the Domain Name Registrant using the contact information listed in the WHOIS record’s “registrant”, “technical”, or “administrative” field;

  2. Communicating with the Domain’s administrator using an email address created by pre-pending ‘admin’, ‘administrator’, ‘webmaster’, ‘hostmaster’, or ‘postmaster’ in the local part, followed by the at-sign (“@”), followed by the Domain Name, which may be formed by pruning zero or more components from the requested FQDN;

Modifica 2015-03-21: Accedi al blog . Ecco un bel post sul blog con alcuni retroscena.
Bruce Morton, Entrust Identity ON Blog, 20-03-2015, What Happened with Live.fi? (archiviato qui .)

Citazione interessante qui:

The attack we are talking about has been performed before in 2009. It was done to the RapidSSL CA where they provided fourteen email addresses for the subscriber to choose from. In this case the attack was also done against another Microsoft domain login.live.com where the subscriber registered [email protected], then requested the certificate using the email address they controlled. This created a security furor to limit the email addresses.

Modifica 2015-03-24: WHOIS I "Requisiti di base" consentono anche gli indirizzi e-mail dai record WHOIS. Ho aggiornato questo sopra.

    
risposta data 19.03.2015 - 20:57
fonte
1

Comodo, che è stato coinvolto in questo fiasco, si fida di seguenti indirizzi email per la verifica del dominio:

  • admin @
  • administrator @
  • postmaster @
  • hostmaster @
  • webmaster @
risposta data 24.03.2015 - 14:30
fonte
0

In pratica, la capacità di rispondere alle e-mail inviate a qualsiasi indirizzo e-mail non dimostra nulla in merito tutto, nemmeno che possiedi l'indirizzo email in questione. Tutte le email sono soggette a manomissioni dalle persone che controllano effettivamente i server di posta che attraversa.

Se ho accesso root al dominio foo.com, ho il controllo assoluto su tutte le e-mail consegnate lì o provenienti da lì. Allo stesso modo, se fossi un geek di basso livello che lavora per gmail, potrei probabilmente implementare una truffa in ordine basata sul sifonamento degli account Gmail, se non fosse per la sicurezza interna infallibile di Google.

    
risposta data 20.03.2015 - 06:51
fonte

Leggi altre domande sui tag

L'implementazione del servizio di notifica push di Apple è vulnerabile a un attacco MitM Quali sono queste visite sconosciute alla mia pagina web privata non elencata?