谷歌呼吁停止使用WHOIS进行TLS域名验证WHOIS数据不可靠。
那么,为什么它会被用于TLS证书申请中?
证书颁发机构和浏览器制造商计划停止使用WHOIS数据验证域名所有权,此前一份报告显示,威胁行为者可能会滥用这一过程来获取欺诈性颁发的TLS证书。
TLS证书是支持HTTPS连接的加密凭证,是在线通信的重要组成部分,它验证服务器属于可信实体,并加密其与终端用户之间的所有通信。这些凭证由数百个CA(证书颁发机构)之一颁发给域名所有者。证书的颁发规则和验证域名合法所有者的过程由CA/浏览器论坛制定。
一项“基本需求规则”允许CA向域名申请人的WHOIS记录中列出的地址发送电子邮件。当接收者点击包含的链接时,证书会自动批准。
非小事依赖 安全公司watchTowr的研究人员最近展示了威胁行为者如何滥用这一规则,为他们不拥有的域名获取欺诈性颁发的证书。由于缺乏统一规则来确定声称提供官方WHOIS记录站点的有效性,这种安全漏洞出现了。
具体来说,watchTowr的研究人员能够为任何以.mobi结尾的域名接收验证链接,包括那些他们不拥有的域名。
研究人员通过部署一个假WHOIS服务器并填充假记录实现了这一点。创建假服务器之所以成为可能,是因为dotmobiregistry.net——以前托管.mobi域名WHOIS服务器的域名——在服务器迁移到新域名后被允许过期。
watchTowr的研究人员注册了该域名,设置了冒牌的WHOIS服务器,并发现CA继续依赖它来验证.mobi域名的所有权。
CA/浏览器论坛(CAB论坛)注意到了这项研究。周一,代表谷歌的成员提议停止依赖WHOIS数据进行域名所有权验证,“鉴于watchTowr实验室的研究显示威胁行为者可以如何利用WHOIS获取欺诈性颁发的TLS证书。”正式提案呼吁在11月初“逐步停止”依赖WHOIS数据。
它具体规定:“CA不得依靠WHOIS来识别域名联系人”,并且“自2024年11月1日起,使用此[电子邮件验证]方法的验证不得依赖WHOIS来识别域名联系人信息。”自周一提交以来,已有50多个跟进评论发布。
许多回应都表示支持提议的改变。另一些人则质疑有必要进行如提议的变更,因为watchTowr所揭示的安全漏洞仅影响单一顶级域名。
与此同时,一位亚马逊代表指出,该公司之前已经实施了一项单边变更,AWS证书管理器将完全不再依赖WHOIS记录。该代表告诉CAB论坛成员,谷歌提议的11月1日截止日期可能过于严格。“我们从客户那里得到的反馈是,对于某些人来说,删除这一依赖并非小事,”
亚马逊代表写道。“公司在电子邮件验证之上建立自动化并不罕见。基于我们获得的信息,我建议将日期推迟到2025年4月30日。”CA Digicert支持亚马逊提议的延长截止日期。Digicert进一步提议,代替使用WHOIS记录,CA应使用WHOIS的继任者,即注册数据访问协议。提议的变更正式处于讨论阶段。尚不清楚何时将开始对这一变更进行正式投票。