4006-555-883

重大事件 | TLS安全因使用过时的WHOIS服务器而遭破坏

发布时间:2024-09-25 15:53:00


近日,watchTowr Labs的安全研究人员在博客中发文指出,购买.mobi顶级域名(TLD)的前WHOIS服务器域名可能允许向攻击者颁发无数欺诈性的TLS/SSL证书。

博客原文:https://labs.watchtowr.com/we-spent-20-to-achieve-rce-and-accidentally-became-the-admins-of-mobi/

研究人员在进行测试时发现,一些证书颁发机构(CA机构)在网络公钥基础设施(PKI)中为域名所有者颁发TLS证书仍在依赖旧的.mobi WHOIS服务器,通过该服务器获取.mobi域名的电子邮件地址,以完成其域名控制验证(DCV)流程,进而导致CA机构错误地签发未经授权的TLS证书

TLS作为SSL的继任者,是互联网安全通信的基础。它与HTTP、SMTP、IMAP或POP3等协议配合使用,从而创建这些协议的安全加密版本,如HTTPS、SMTPS、STARTTLS等。  

TLS依赖受信任的证书颁发机构颁发的数字证书,以此验证浏览器、邮件服务器和邮件客户端所连接服务器的真实身份。这个至关重要的过程旨在防止中间人攻击或重定向攻击,保护通信安全。  

为保障通信安全,CA机构遵循特定流程,在为某个域名颁发TLS证书之前,必须验证该域名的所有权或控制权。  

目前,CA/B论坛认为有三种验证方法是可接受的:
1.在域名指向的Web服务器根目录下放置一个密钥标记;
2.在该域名的CNAME DNS记录中放置密钥标记;

3.在该域名设定的管理员联系邮箱中接收密钥标记。 

其中,域名设定的联系邮箱获取来源恰恰正是WHOIS记录。  

CA/B论坛发起投票决定是否弃用基于WHOIS的域验证方法,GlobalSignMozillaOISTE等机构表示支持此提议。

据悉,Bugzilla是Mozilla开发和维护的一个开源缺陷跟踪系统,Mozilla的DEV安全策略邮件列表中也正就此问题展开讨论。

谷歌正在提议CA/B论坛针对此项举措进行投票,如果该投票被通过,最早会从2024年11 月1日开始所有CA都将弃用WHOIS登记邮箱进行域名控制验证(DCV)。

这对用户意味着什么?

为避免在111日或之后对证书验证流程造成潜在中断,强烈建议部分用户尽快将基于 WHOIS登记邮箱的域名验证方法切换到不依赖WHOIS记录的方法选用另外两种电子邮件域名控制验证方法, Constructed Email5个结构化Whois邮箱和MX记录) 和Email to DNS TXT 联系方式。当然,DNS TXT等其他DCV方式仍可以继续使用,也更为常用。

除此之外,也可以通过DNS验证的方式添加Email地址来进行邮件验证,这样可以保证每年都可以直接这个邮箱地址来接收域名验证邮件。

最新发布
1
重大事件 | TLS安全因使用过时的WHOIS服务器而遭破坏
2
SSL证书选便宜的还是贵的?
3
关于“Geotrust”品牌证书不信任误解读声明
4
央企密码中台建设:高效与安全并存的数字化转型必然选择
5
政府网站数据安全防护这样做,兼容性与国密算法合规性兼顾
6
Digicert全球价格调整策略-中国区市场指导价格执行通知
7
热点问题解答 | vTrus SSL证书三问三答,自主品牌保障企业网站安全合规
8
“数据安全”连续四年被写入政府工作报告,天威诚信核心技术护航数据全生命周期安全
9
《中华人民共和国档案法实施条例》正式施行,天威诚信数字信任服务推进档案信息化、法制化建设
10
反转不断的“凤印案” 从《大唐狄公案》看传统印章的管理困局
相关推荐
SSL证书选便宜的还是贵的?
关于“Geotrust”品牌证书不信任误解读声明
Digicert全球价格调整策略-中国区市场指导价格执行通知
政府网站数据安全防护这样做,兼容性与国密算法合规性兼顾
央企密码中台建设:高效与安全并存的数字化转型必然选择
重大事件 | TLS安全因使用过时的WHOIS服务器而遭破坏