Центры сертификации и разработчики браузеров планируют прекратить использование данных WHOIS для подтверждения права собственности на домен после отчёта, который продемонстрировал, как хакеры могут злоупотреблять этим процессом для получения мошенническим образом выпущенных сертификатов TLS.
Сертификаты TLS — это криптографические учётные данные, которые лежат в основе соединений HTTPS и подтверждают принадлежность сервера доверенному субъекту, шифрующего весь трафик, проходящий между ним и конечным пользователем. Они выдаются центрами сертификации. Правила выдачи сертификатов и процесс проверки законного владельца домена оставлены на усмотрение Certification Authority Browser Forum. «Правило базового требования» позволяет центру сертификации отправлять электронное письмо на адрес, указанный в записи WHOIS для домена, на который подаётся заявка. Когда получатель нажимает на прилагаемую ссылку, сертификат автоматически одобряется.
Исследователи из компании по безопасности watchTowr недавно продемонстрировали, как злоумышленники могут злоупотреблять этим правилом для получения мошенническим образом выпущенных сертификатов для доменов, которыми они не владеют. Сбой безопасности произошёл из-за отсутствия единых правил определения действительности сайтов, заявляющих о предоставлении официальных записей WHOIS.
В частности, исследователи watchTowr смогли получить ссылку для проверки любого домена, заканчивающегося на .mobi, включая те, которыми они не владели. Исследователи сделали это, развернув поддельный сервер WHOIS и заполнив его поддельными записями. Создание поддельного сервера стало возможным, поскольку dotmobiregistry.net — предыдущий домен, на котором размещался сервер WHOIS для доменов .mobi, — ещё работал, хотя срок его регистрации истекал после того, как сервер был перемещён в новый домен. В watchTowr зарегистрировали домен, настроили поддельный сервер WHOIS и обнаружили, что центры сертификации продолжали полагаться на него для проверки права собственности на домены .mobi.
Исследование не ускользнуло от внимания CA/Browser Forum. Представитель Google предложил отказаться от использования данных WHOIS для проверки права собственности на домены в начале ноября.
Критики этого предложения отмечают, что обнаруженный watchTowr сбой безопасности, как известно, затрагивает только один домен верхнего уровня.
Между тем представитель Amazon отметил, что компания ранее внедрила одностороннее изменение, в котором AWS Certificate Manager полностью откажется от зависимости от записей WHOIS. Однако и там заявили, что предложенный Google срок может быть слишком строгим.
«Нередко компании встраивают автоматизацию поверх проверки электронной почты. Основываясь на полученной нами информации, мы рекомендуем дату 30 апреля 2025 года», — говорит представитель Amazon.
CA Digicert поддержал предложение Amazon о продлении этого срока, а также предложил вместо записей WHOIS использовать Registration Data Access Protocol.
Предлагаемые изменения формально находятся на стадии обсуждения. Неясно, когда начнется официальное голосование.
В апреле Центр мониторинга и управления сети связи общего пользования «Главного радиочастотного центра» запустил в РФ аналог WHOIS и публичный сервис РАНР (реестр адресно-номерных ресурсов) Рунета. Он позволяет узнавать информацию о доменах, а также используемых ими IP-адресах, почтовых и веб-серверах.
Источник: habr.com