欢迎光临
我们一直在努力

CA/浏览器论坛讨论禁用WHOIS验证签发证书 因为这种验证方式根本不靠谱

负责讨论和制定域名 TLS 证书的 CA / 浏览器论坛最近正在讨论安全公司 watchTowr 研究人员发现的一种攻击缺陷,利用该缺陷研究人员能够获得任意 MOBI 域名的 TLS 证书。

这个缺陷说起来并不复杂,多年前 CA / 浏览器论坛制定了一种简化的 TLS 申请机制,CA 即证书颁发机构向域名管理员发送电子邮件,管理员点击邮件中的链接就视为确认。

原本这种工作机制能用也能简化某些管理员管理证书的难度,但这种机制从根本上依赖于 WHOIS 信息,因为域名管理员的预留电子邮件是放在 WHOIS 信息中的。

watchTowr 发现的问题只针对.MOBI 域名,原因是其域名注册局以前使用的官方 WHOIS 网站为 dotmobiregistry.net,但后来他们迁移了网站。

CA/浏览器论坛讨论禁用WHOIS验证签发证书 因为这种验证方式根本不靠谱

既然已经迁移了网站那 dotmobiregistry.net 也没必要保留了,于是该域名过期并被 watchTowr 注册了,但各种 CA 机构仍然将此网站当作是 MOBI 域名的官方 WHOIS 服务器。

在这种情况下研究人员就可以伪造 WHOIS 服务器并用来申请任意 MOBI 域名的 TLS 证书,蓝点网认为这甚至都不算是注册局不靠谱,而是以前 CA / 浏览器论坛制定的这种方式本身就不合理。

目前谷歌已经提议停止依赖于 WHOIS 信息为域名颁发 TLS 证书,谷歌希望在 2024 年 11 月初开始就废掉这种验证方式,但其他 CA 机构认为预留的时间太短了。

包括亚马逊 AWS 和知名 CA 机构 Digicert 都认为应该延迟到 2025 年 4 月底,让仍然使用这种验证方式的 IT 管理员有更多时间切换到主流验证方式,包括文件验证和 DNS 验证等。

另外 Digicert 还提议使用 RDAP 协议替代 WHOIS 验证域名,RDAP 协议是 IETF 在 2015 年制定的作为 WHOIS 协议的后继者,该协议从域名、IP 地址、AS 自治系统中查找注册数据。

文章来源:https://www.landiannews.com/archives/105918.html

赞(0)
文章名称:《CA/浏览器论坛讨论禁用WHOIS验证签发证书 因为这种验证方式根本不靠谱》
文章链接:https://nadian4.com/article/12892
本站内容来源于互联网搬运,仅限于小范围内传播学习和文献参考,如有侵权请联系我们删除。

相关推荐

评论 抢沙发

登录

找回密码

注册