负责讨论和制定域名 TLS 证书的 CA / 浏览器论坛最近正在讨论安全公司 watchTowr 研究人员发现的一种攻击缺陷,利用该缺陷研究人员能够获得任意 MOBI 域名的 TLS 证书。
这个缺陷说起来并不复杂,多年前 CA / 浏览器论坛制定了一种简化的 TLS 申请机制,CA 即证书颁发机构向域名管理员发送电子邮件,管理员点击邮件中的链接就视为确认。
原本这种工作机制能用也能简化某些管理员管理证书的难度,但这种机制从根本上依赖于 WHOIS 信息,因为域名管理员的预留电子邮件是放在 WHOIS 信息中的。
watchTowr 发现的问题只针对.MOBI 域名,原因是其域名注册局以前使用的官方 WHOIS 网站为 dotmobiregistry.net,但后来他们迁移了网站。
既然已经迁移了网站那 dotmobiregistry.net 也没必要保留了,于是该域名过期并被 watchTowr 注册了,但各种 CA 机构仍然将此网站当作是 MOBI 域名的官方 WHOIS 服务器。
在这种情况下研究人员就可以伪造 WHOIS 服务器并用来申请任意 MOBI 域名的 TLS 证书,蓝点网认为这甚至都不算是注册局不靠谱,而是以前 CA / 浏览器论坛制定的这种方式本身就不合理。
目前谷歌已经提议停止依赖于 WHOIS 信息为域名颁发 TLS 证书,谷歌希望在 2024 年 11 月初开始就废掉这种验证方式,但其他 CA 机构认为预留的时间太短了。
包括亚马逊 AWS 和知名 CA 机构 Digicert 都认为应该延迟到 2025 年 4 月底,让仍然使用这种验证方式的 IT 管理员有更多时间切换到主流验证方式,包括文件验证和 DNS 验证等。
另外 Digicert 还提议使用 RDAP 协议替代 WHOIS 验证域名,RDAP 协议是 IETF 在 2015 年制定的作为 WHOIS 协议的后继者,该协议从域名、IP 地址、AS 自治系统中查找注册数据。
