#科技资讯 CA / 浏览器论坛正在讨论废掉基于 WHOIS 验证的 TLS 证书颁发方法,原因是这种验证方式本身就不靠谱。watchTour 的研究人员注意到 MOBI 域名注册局更换了 WHOIS 服务器域名,但 CA 机构仍然将旧域名当作官方服务器,于是研究人员伪造了服务器并能够实现对任意 MOBI 域名申请 TLS 证书。查看全文:https://ourl.co/105918

负责讨论和制定域名 TLS 证书的 CA / 浏览器论坛最近正在讨论安全公司 watchTowr 研究人员发现的一种攻击缺陷,利用该缺陷研究人员能够获得任意 MOBI 域名的 TLS 证书。

这个缺陷说起来并不复杂,多年前 CA / 浏览器论坛制定了一种简化的 TLS 申请机制,CA 即证书颁发机构向域名管理员发送电子邮件,管理员点击邮件中的链接就视为确认。

原本这种工作机制能用也能简化某些管理员管理证书的难度,但这种机制从根本上依赖于 WHOIS 信息,因为域名管理员的预留电子邮件是放在 WHOIS 信息中的。

watchTowr 发现的问题只针对.MOBI 域名,原因是其域名注册局以前使用的官方 WHOIS 网站为 dotmobiregistry.net,但后来他们迁移了网站。

CA/浏览器论坛讨论禁用WHOIS验证签发证书 因为这种验证方式根本不靠谱

既然已经迁移了网站那 dotmobiregistry.net 也没必要保留了,于是该域名过期并被 watchTowr 注册了,但各种 CA 机构仍然将此网站当作是 MOBI 域名的官方 WHOIS 服务器。

在这种情况下研究人员就可以伪造 WHOIS 服务器并用来申请任意 MOBI 域名的 TLS 证书,蓝点网认为这甚至都不算是注册局不靠谱,而是以前 CA / 浏览器论坛制定的这种方式本身就不合理。

目前谷歌已经提议停止依赖于 WHOIS 信息为域名颁发 TLS 证书,谷歌希望在 2024 年 11 月初开始就废掉这种验证方式,但其他 CA 机构认为预留的时间太短了。

包括亚马逊 AWS 和知名 CA 机构 Digicert 都认为应该延迟到 2025 年 4 月底,让仍然使用这种验证方式的 IT 管理员有更多时间切换到主流验证方式,包括文件验证和 DNS 验证等。

另外 Digicert 还提议使用 RDAP 协议替代 WHOIS 验证域名,RDAP 协议是 IETF 在 2015 年制定的作为 WHOIS 协议的后继者,该协议从域名、IP 地址、AS 自治系统中查找注册数据。