solidot新版网站常见问题,请点击这里查看。

Google 呼吁停止将 WHOIS 用于 TLS 域名验证

安全
Wilson (42865)发表于 2024年09月22日 00时26分 星期日

来自发条人偶
CA 和浏览器开发商计划停止将 WHOIS 用于 TLS 域名验证。CA/Browser Forum 允许 CA 向 WHOIS 记录中列出的电子邮件发送邮件,当接收者点击链接后其申请的证书将会自动获得批准。安全公司 watchTowr 的研究人员演示了攻击者如何滥用该规则欺诈性的获取他们不拥有的域名证书。这一安全漏洞是因为缺乏统一规则判断声称提供官方 WHOIS 记录的网站的有效性。研究人员通过部署假的 WHOIS 服务器和假的 IP 记录实现了漏洞利用。Google 因此提议停止将 WHOIS 用于域名验证。


https://arstechnica.com/security/2024/09/google-calls-for-halting-use-of-whois-for-tls-domain-verifications/