CA/B论坛发起投票，弃用基于WHOIS的域名验证方法

近期，安全研究人员发现，过时的WHOIS服务器存在严重安全*洞，可能被用于伪造TLS/SSL证书，威胁互联网安全。这一发现促使CA/B论坛发起投票，考虑弃用基于WHOIS登记邮箱的域名控制验证（DCV）方法，以提高互联网的整体安全性。

什么是WHOIS协议

WHOIS协议起源于20世纪80年代早期，用于查询域名和IP地址的信息，通常通过TCP 43端口返回文本记录，其中包含域名的注册时间、注册商、到期时间、所有者以及其联系信息等数据。

管理顶级域名（TLD）如.com、.org、.net等的组织负责这些信息的管理，并操作各自的WHOIS服务器。这些服务器在由互联网数字分配机构（IANA）管理的互联网根区数据库中列出。IANA隶属于互联网名称与数字地址分配机构（ICANN），  IANA提供自己的WHOIS服务器（whois.iana.org），可以通过查询该服务器获取特定TLD的WHOIS服务器地址。

当前全球超过1500个顶级域名，涵盖3.5亿多个注册域名。查询WHOIS信息的应用程序通常会先查询whois.iana.org，获取当前的WHOIS服务器地址，然后再对特定域名进行查询。为了减少查询请求的数量，尤其是在处理大量IP地址或主机名时，WHOIS客户端通常使用硬编码的WHOIS服务器列表，或者依赖使用过时服务器列表的服务。

为了让开发人员更轻松地以编程方式查询域或IP注册信息，IETF创建了注册数据访问协议（RDAP），该协议以JSON格式返回结果。ICANN已要求所有通用TLD在2024年2月之前提供标准化RDAP服务，但这不适用于国家级TLD，因此WHOIS协议不会很快消失。

过时的WHOIS服务器域名可能影响TLS安全

在调查WHOIS客户端中的远程代码执行（RCE）*洞时，watchTowr的研究人员需要控制一个WHOIS服务器来提供恶意的响应。在现实中，这样的*击只能通过中间人*击来拦截请求并冒充服务器，或者通过接管WHOIS客户端查询的服务器来进行。

接管域名注册局的WHOIS服务器看似是一个难以实现的前提，但研究人员发现了一个重大*洞。几年前，.mobi的WHOIS服务器域名变更，注册局让之前的域名过期了，研究人员以20美元购买了.mobi顶级域名的旧WHOIS服务器域名，意外发现，成千上万的系统仍然向该旧地址发起查询。这表明，*击者可能利用这一*洞，通过恶意负载注入到WHOIS客户端。这种情况，可能让*击者劫持旧的WHOIS服务器域名，冒充域名所有者，引发多种*击，包括为非自己所有的域名获取非法的TLS证书。

“互联网中的WHOIS客户端，包括电子邮件服务器和证书颁发机构，仍在依赖过时的WHOIS服务器记录，这可能让*击者劫持旧的WHOIS服务器域名，并冒充域名所有者，这种情况可能引发多种*击，包括为非自己所有的域名获取非法的TLS证书。”研究人员写道。（博客原文：https://labs.watchtowr.com/we-spent-20-to-achieve-rce-and-accidentally-became-the-admins-of-mobi/）

CA/B论坛的行动

9月16日，Google在CA/B论坛内部发起关于弃用基于WHOIS的域验证方法的投票。该提案规定，禁止依赖WHOIS来识别域名联系人，拟定2024年11月1日起生效。

很多机构表示支持此提议，AWS在今年2月份曾发布公告，通过电子邮件验证TLS证书时，ACM将停止使用WHOIS查询来验证域所有权；Sectigo也已于近日发布公告，即将弃用基于WHOIS的域验证方法，建议客户尽快迁移至其他替代方法。

目前投票讨论仍在继续，预计在9月23日后会有一个初步结果。基于目前的趋势，沃通强烈建议客户尽快将基于WHOIS登记邮箱的域名验证方法，切换到不依赖 WHOIS记录的域名验证方法。

缓解措施与建议

ICANN已将2025年1月28日定为WHOIS“日落日期”，届时通用顶级域名（gTLD）注册机构将不再需要运行WHOIS服务器，而只需提供RDAP服务。域名所有者可以通过设置证书颁发机构授权（CAA）记录来指定哪些CA被允许为特定域名颁发证书。

此外，为了简化域名验证流程，增强其自动化，域名所有者应考虑实施自动化工具，定期检查其DNS配置和CAA记录，确保始终反映最新的安全需求。结合API接口与CA系统集成，可以实现证书申请和管理的自动化，降低人为错误和操作成本。

值得强调的是，CA必须在证书透明度（CT）日志中发布其颁发的证书。域名所有者可以监控这些日志，以自动发现是否有任何未经授权的证书颁发给他们的域名。

结论

随着互联网安全威胁的不断演变，弃用过时的WHOIS验证方法，转向更安全的验证机制，对于保护互联网通信的安全至关重要。通过实施RDAP和CAA记录，我们可以提高域名验证的安全性，减少恶意*击的可能性，确保互联网用户的数据安全。

参考来源：公钥密码开放社区、CSO、Scmagazine、Sectigo等