近日,watchTowr Labs的安全研究人员在博客中发文指出,购买.mobi顶级域名(TLD)的前WHOIS服务器域名可能允许向攻击者颁发无数欺诈性的TLS/SSL证书。
研究人员在进行测试时发现,一些证书颁发机构(CA机构)在网络公钥基础设施(PKI)中为域名所有者颁发TLS证书仍在依赖旧的.mobi WHOIS服务器,通过该服务器获取.mobi域名的电子邮件地址,以完成其域名控制验证(DCV)流程,进而导致CA机构错误地签发未经授权的TLS证书。
TLS作为SSL的继任者,是互联网安全通信的基础。它与HTTP、SMTP、IMAP或POP3等协议配合使用,从而创建这些协议的安全加密版本,如HTTPS、SMTPS、STARTTLS等。
TLS依赖受信任的证书颁发机构颁发的数字证书,以此验证浏览器、邮件服务器和邮件客户端所连接服务器的真实身份。这个至关重要的过程旨在防止中间人攻击或重定向攻击,保护通信安全。
为保障通信安全,CA机构遵循特定流程,在为某个域名颁发TLS证书之前,必须验证该域名的所有权或控制权。
3.在该域名设定的管理员联系邮箱中接收密钥标记。
其中,域名设定的联系邮箱获取来源恰恰正是WHOIS记录。
CA/B论坛发起投票决定是否弃用基于WHOIS的域验证方法,GlobalSign、Mozilla、OISTE等机构表示支持此提议。
据悉,Bugzilla是Mozilla开发和维护的一个开源缺陷跟踪系统,Mozilla的DEV安全策略邮件列表中也正就此问题展开讨论。
谷歌正在提议CA/B论坛针对此项举措进行投票,如果该投票被通过,最早会从2024年11 月1日开始所有CA都将弃用WHOIS登记邮箱进行域名控制验证(DCV)。
这对用户意味着什么?
为避免在11月1日或之后对证书验证流程造成潜在中断,强烈建议部分用户尽快将基于 WHOIS登记邮箱的域名验证方法切换到不依赖WHOIS记录的方法,选用另外两种电子邮件域名控制验证方法, Constructed Email(5个结构化Whois邮箱和MX记录) 和Email to DNS TXT 联系方式。当然,DNS TXT等其他DCV方式仍可以继续使用,也更为常用。
除此之外,也可以通过DNS验证的方式添加Email地址来进行邮件验证,这样可以保证每年都可以直接这个邮箱地址来接收域名验证邮件。