首页 > 其他分享 >CA/B论坛发起投票,弃用基于WHOIS的域名验证方法

CA/B论坛发起投票,弃用基于WHOIS的域名验证方法

时间:2024-09-27 14:24:00浏览次数:10  
标签:弃用 WHOIS 验证 CA 证书 域名 服务器

近期,安全研究人员发现,过时的WHOIS服务器存在严重安全*洞,可能被用于伪造TLS/SSL证书,威胁互联网安全。这一发现促使CA/B论坛发起投票,考虑弃用基于WHOIS登记邮箱的域名控制验证(DCV)方法,以提高互联网的整体安全性。

CA/B论坛发起投票,弃用基于WHOIS的域名验证方法_CAB论坛

什么是WHOIS协议

WHOIS协议起源于20世纪80年代早期,用于查询域名和IP地址的信息,通常通过TCP 43端口返回文本记录,其中包含域名的注册时间、注册商、到期时间、所有者以及其联系信息等数据。

管理顶级域名(TLD)如.com、.org、.net等的组织负责这些信息的管理,并操作各自的WHOIS服务器。这些服务器在由互联网数字分配机构(IANA)管理的互联网根区数据库中列出。IANA隶属于互联网名称与数字地址分配机构(ICANN),  IANA提供自己的WHOIS服务器(whois.iana.org),可以通过查询该服务器获取特定TLD的WHOIS服务器地址。

当前全球超过1500个顶级域名,涵盖3.5亿多个注册域名。查询WHOIS信息的应用程序通常会先查询whois.iana.org,获取当前的WHOIS服务器地址,然后再对特定域名进行查询。为了减少查询请求的数量,尤其是在处理大量IP地址或主机名时,WHOIS客户端通常使用硬编码的WHOIS服务器列表,或者依赖使用过时服务器列表的服务。

为了让开发人员更轻松地以编程方式查询域或IP注册信息,IETF创建了注册数据访问协议(RDAP),该协议以JSON格式返回结果。ICANN已要求所有通用TLD在2024年2月之前提供标准化RDAP服务,但这不适用于国家级TLD,因此WHOIS协议不会很快消失。

CA/B论坛发起投票,弃用基于WHOIS的域名验证方法_WHOIS_02

过时的WHOIS服务器域名可能影响TLS安全

在调查WHOIS客户端中的远程代码执行(RCE)*洞时,watchTowr的研究人员需要控制一个WHOIS服务器来提供恶意的响应。在现实中,这样的*击只能通过中间人*击来拦截请求并冒充服务器,或者通过接管WHOIS客户端查询的服务器来进行。

接管域名注册局的WHOIS服务器看似是一个难以实现的前提,但研究人员发现了一个重大*洞。几年前,.mobi的WHOIS服务器域名变更,注册局让之前的域名过期了,研究人员以20美元购买了.mobi顶级域名的旧WHOIS服务器域名,意外发现,成千上万的系统仍然向该旧地址发起查询。这表明,*击者可能利用这一*洞,通过恶意负载注入到WHOIS客户端。这种情况,可能让*击者劫持旧的WHOIS服务器域名,冒充域名所有者,引发多种*击,包括为非自己所有的域名获取非法的TLS证书。

“互联网中的WHOIS客户端,包括电子邮件服务器和证书颁发机构,仍在依赖过时的WHOIS服务器记录,这可能让*击者劫持旧的WHOIS服务器域名,并冒充域名所有者,这种情况可能引发多种*击,包括为非自己所有的域名获取非法的TLS证书。”研究人员写道。(博客原文:https://labs.watchtowr.com/we-spent-20-to-achieve-rce-and-accidentally-became-the-admins-of-mobi/)

CA/B论坛的行动

9月16日,Google在CA/B论坛内部发起关于弃用基于WHOIS的域验证方法的投票。该提案规定,禁止依赖WHOIS来识别域名联系人,拟定2024年11月1日起生效。

CA/B论坛发起投票,弃用基于WHOIS的域名验证方法_CAB论坛_03

很多机构表示支持此提议,AWS在今年2月份曾发布公告,通过电子邮件验证TLS证书时,ACM将停止使用WHOIS查询来验证域所有权;Sectigo也已于近日发布公告,即将弃用基于WHOIS的域验证方法,建议客户尽快迁移至其他替代方法。

CA/B论坛发起投票,弃用基于WHOIS的域名验证方法_WHOIS_04

目前投票讨论仍在继续,预计在9月23日后会有一个初步结果。基于目前的趋势,沃通强烈建议客户尽快将基于WHOIS登记邮箱的域名验证方法,切换到不依赖 WHOIS记录的域名验证方法。

缓解措施与建议

ICANN已将2025年1月28日定为WHOIS“日落日期”,届时通用顶级域名(gTLD)注册机构将不再需要运行WHOIS服务器,而只需提供RDAP服务。域名所有者可以通过设置证书颁发机构授权(CAA)记录来指定哪些CA被允许为特定域名颁发证书。

此外,为了简化域名验证流程,增强其自动化,域名所有者应考虑实施自动化工具,定期检查其DNS配置和CAA记录,确保始终反映最新的安全需求。结合API接口与CA系统集成,可以实现证书申请和管理的自动化,降低人为错误和操作成本。

值得强调的是,CA必须在证书透明度(CT)日志中发布其颁发的证书。域名所有者可以监控这些日志,以自动发现是否有任何未经授权的证书颁发给他们的域名。

结论

随着互联网安全威胁的不断演变,弃用过时的WHOIS验证方法,转向更安全的验证机制,对于保护互联网通信的安全至关重要。通过实施RDAP和CAA记录,我们可以提高域名验证的安全性,减少恶意*击的可能性,确保互联网用户的数据安全。

参考来源:公钥密码开放社区、CSO、Scmagazine、Sectigo等

标签:弃用,WHOIS,验证,CA,证书,域名,服务器
From: https://blog.51cto.com/u_15078048/12128689

相关文章

  • carplay需要mfi认证吗?
    CarPlay是苹果公司推出的一种车载智能系统,它将用户的iPhone(或其他兼容的iOS设备)与汽车的仪表盘和控制系统无缝集成,为驾驶者提供更加便捷、智能且安全的驾驶体验。MFi认证是苹果公司(AppleInc.)对其授权配件厂商生产的外置配件的一种标识使用许可,全称是MadeforiPhone/iPod/iPad。通......
  • CANape、MF4格式文件和DBC文件之间的关系
    CANape、MF4格式文件和DBC文件之间的关系1.CANapeCANape是由VectorInformatik公司开发的一款功能强大的ECU(电子控制单元)开发工具。它主要用于:测量(Measurement):实时获取ECU和车辆网络中的数据。校准(Calibration):调整ECU内部的参数,以优化车辆性能。诊断(Diagnost......
  • 【Canvas技法】绘制圆角六边形
    【成图】【代码】<!DOCTYPEhtml><htmllang="utf-8"><metahttp-equiv="Content-Type"content="text/html;charset=utf-8"/><head><title>圆角六边形的制作Draft3展示</title><styletype="text/c......
  • [ABC274G] Security Camera 3
    [ABC274G]SecurityCamera3给你一个\(n\timesm\)的网格图,\(n,m\le300\),每个空地上可以放任意多个任意方向的监控,一个监控视野覆盖对应方向最长连续空地,问监控覆盖所有空地最小化监控数量。对于一个极长的连续空地,我们一定是在边边放置一个监控,而且两边是一样的,因此我们只......
  • OpenCV视频I/O(3)视频采集类VideoCapture之获取当前使用的视频捕获 API 后端的名称函数
    操作系统:ubuntu22.04OpenCV版本:OpenCV4.9IDE:VisualStudioCode编程语言:C++11算法描述getBackendName函数是OpenCV中VideoCapture类的一个方法,用于获取当前使用的视频捕获API后端的名称。这可以帮助开发者了解当前VideoCapture实例正在使用哪个后端来处理视......
  • OpenCV视频I/O(2)视频采集类VideoCapture之检索视频流的各种属性函数get()的使用
    操作系统:ubuntu22.04OpenCV版本:OpenCV4.9IDE:VisualStudioCode编程语言:C++11算法描述返回指定的VideoCapture属性。VideoCapture的get()函数用于检索视频流的各种属性。这个函数允许你查询视频源的状态和配置,例如分辨率、帧率等。函数原型virtualdoublec......
  • P10681 COTS/CETS 2024 奇偶矩阵 Tablica
    P10681COTS/CETS2024奇偶矩阵Tablica来自qnqfff大佬的梦幻dp。约定二元组\((n,m)\)表示一个\(n\)行\(m\)列的矩形。不添加说明的子问题,限制与题面一致。思路先考虑放最后一行,发现你填的位置经过变换后可以得到其他的结果,也就是说只要乘上变换的方案数就可以任......
  • 运用canvas绘制出好玩的粒子效果
    <!DOCTYPEhtml><htmllang="en"><head>  <metacharset="UTF-8">  <metaname="viewport"content="width=device-width,initial-scale=1.0">  <title>Document</title>  ......
  • 易优CMS出现:Allowed memory size of 134217728 bytes exhausted (tried to allocate 2
    当你遇到“Allowedmemorysizeof134217728bytesexhausted(triedtoallocate20480bytes)”的错误时,这意味着PHP的内存限制已经耗尽。这种错误通常发生在处理大量数据或执行复杂计算时。为了解决这个问题,可以采取以下几种方法:方法1:修改 php.ini 文件(推荐)找到 php......
  • 易优CMS致命错误,联系技术支持:Call to undefined function eyPreventShell()-eyoucms
    当你遇到 core/helper.php 第146行左右出现致命错误,并且提示 CalltoundefinedfunctioneyPreventShell() 时,通常是因为某个自定义函数未被定义或未被正确引入。以下是一些具体的解决步骤:步骤1:检查函数定义定位 eyPreventShell 函数查找 eyPreventShell 函数的......