<p dir="ltr">Forwarding on Patrick's behalf, as this does sound like a bug with this method (as already practiced by some CAs)</p>
<div class="gmail_quote">On Apr 14, 2016 2:15 AM, "Patrick Figel" <<a href="mailto:patfigel@gmail.com">patfigel@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Section 3.2.2.4.6 states that the presence of a Random Value or Request Token</div><div>on a website can be confirmed via any Authorized Port, including 443 (HTTPS).</div><div><br></div><div>This introduces an interesting vulnerability in certain multi-tenant hosting</div><div>environments. A detailed discussion can be found on the ACME mailing list[1].</div><div>I'm quoting the relevant section of that discussion:</div><div>> Apache (and I gather nginx too) have the subtle and non-intuitive</div><div>> behaviour that if a default TLS/HTTPS virtual host is not configured</div><div>> explicitly, one will be selected based on the ordering of vhosts in the</div><div>> webserver configuration (in practice, this often amounts to alphabetical</div><div>> ordering of files in a configuration directory).</div><div>></div><div>> <a href="https://serverfault.com/questions/458106/apache2-default-vhost-in-alphabetical-order-or-override-with-default-vhost" target="_blank">https://serverfault.com/questions/458106/apache2-default-vhost-in-alphabetical-order-or-override-with-default-vhost</a></div><div>> <a href="https://serverfault.com/a/180956" target="_blank">https://serverfault.com/a/180956</a></div><div>></div><div>> This creates a vulnerability for SimpleHTTP and DVSNI in any</div><div>> multiple-tenant virtual hosting environment that failed to explicitly</div><div>> select a default vhost [1].  The vulnerability allows one tenant</div><div>> (typically one with the alphabetically lowest domain name -- a situation</div><div>> that may be easy for an attacker to arrange) to obtain certificates for</div><div>> other tenants.</div><div><br></div><div>[1]: <a href="https://mailarchive.ietf.org/arch/msg/acme/B9vhPSMm9tcNoPrTE_LNhnt0d8U" target="_blank">https://mailarchive.ietf.org/arch/msg/acme/B9vhPSMm9tcNoPrTE_LNhnt0d8U</a></div></div>
<br>_______________________________________________<br>
Questions mailing list<br>
<a href="mailto:Questions@cabforum.org">Questions@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/questions" rel="noreferrer" target="_blank">https://cabforum.org/mailman/listinfo/questions</a><br>
<br></blockquote></div>