重大事件 | TLS安全因使用过时的WHOIS服务器而遭破坏
近日,watchTowr Labs的安全研究人员在博客中发文指出,购买.mobi顶级域名(TLD)的前WHOIS服务器域名可能允许向攻击者颁发无数欺诈性的TLS/SSL证书。
研究人员在进行测试时发现,一些证书颁发机构(CA机构)在网络公钥基础设施(PKI)中为域名所有者颁发TLS证书仍在依赖旧的.mobi WHOIS服务器,通过该服务器获取.mobi域名的电子邮件地址,以完成其域名控制验证(DCV)流程,进而导致CA机构错误地签发未经授权的TLS证书。
它与HTTP、SMTP、IMAP或POP3等协议配合使用,从而创建这些协议的安全加密版本,如HTTPS、SMTPS、STARTTLS等。
TLS依赖受信任的证书颁发机构颁发的数字证书,以此验证浏览器、邮件服务器和邮件客户端所连接服务器的真实身份。这个至关重要的过程旨在防止中间人攻击或重定向攻击,保护通信安全。
为保障通信安全,CA机构遵循特定流程,在为某个域名颁发TLS证书之前,必须验证该域名的所有权或控制权。
目前,CA/B论坛认为有三种验证方法是可接受的:
1.在域名指向的Web服务器根目录下放置一个密钥标记;
2.在该域名的CNAME DNS记录中放置密钥标记;
3.在该域名设定的管理员联系邮箱中接收密钥标记。
其中,域名设定的联系邮箱获取来源恰恰正是WHOIS记录。
CA/B论坛发起投票决定是否弃用基于WHOIS的域验证方法,、、等机构表示支持此提议。
据悉,Bugzilla是Mozilla开发和维护的一个开源缺陷跟踪系统,Mozilla的DEV安全策略邮件列表中也正就此问题展开讨论。
谷歌正在提议CA/B论坛针对此项举措进行投票,如果该投票被通过,最早会从2024年11 月1日开始所有CA都将弃用WHOIS登记邮箱进行域名控制验证(DCV)。
这对用户意味着什么?
为避免在月日或之后对证书验证流程造成潜在中断,部分用户 登记邮箱的域名验证方法切换到不依赖记录的方法,选用另外两种电子邮件域名控制验证方法, Constructed Email(5个结构化Whois邮箱和MX记录) 和Email to DNS TXT 联系方式。当然,DNS TXT等其他DCV方式仍可以继续使用,也更为常用。
除此之外,也可以通过DNS验证的方式添加Email地址来进行邮件验证,这样可以保证每年都可以直接这个邮箱地址来接收域名验证邮件。
相关新闻
-
在金融移动安全领域,SSL证书、代码签名证书如何发挥作用?
2024-10-28 -
微信小程序开发指南!配置https证书需要多少钱?
2024-10-15 -
重大事件 | TLS安全因使用过时的WHOIS服务器而遭破坏
2024-09-25 -
关于“Geotrust”品牌证书不信任误解读声明
2024-07-15 -
SSL证书选便宜的还是贵的?
2024-07-02 -
央企密码中台建设:高效与安全并存的数字化转型必然选择
2024-06-06 -
政府网站数据安全防护这样做,兼容性与国密算法合规性兼顾
2024-05-14 -
Digicert全球价格调整策略-中国区市场指导价格执行通知
2024-05-09 -
在金融移动安全领域,SSL证书、代码签名证书如何发挥作用?
2024-10-28 -
微信小程序开发指南!配置https证书需要多少钱?
2024-10-15 -
重大事件 | TLS安全因使用过时的WHOIS服务器而遭破坏
2024-09-25 -
关于“Geotrust”品牌证书不信任误解读声明
2024-07-15 -
SSL证书选便宜的还是贵的?
2024-07-02 -
央企密码中台建设:高效与安全并存的数字化转型必然选择
2024-06-06 -
政府网站数据安全防护这样做,兼容性与国密算法合规性兼顾
2024-05-14 -
Digicert全球价格调整策略-中国区市场指导价格执行通知
2024-05-09 -
在金融移动安全领域,SSL证书、代码签名证书如何发挥作用?
2024-10-28 -
微信小程序开发指南!配置https证书需要多少钱?
2024-10-15 -
重大事件 | TLS安全因使用过时的WHOIS服务器而遭破坏
2024-09-25 -
关于“Geotrust”品牌证书不信任误解读声明
2024-07-15 -
SSL证书选便宜的还是贵的?
2024-07-02 -
央企密码中台建设:高效与安全并存的数字化转型必然选择
2024-06-06 -
政府网站数据安全防护这样做,兼容性与国密算法合规性兼顾
2024-05-14 -
Digicert全球价格调整策略-中国区市场指导价格执行通知
2024-05-09 -
在金融移动安全领域,SSL证书、代码签名证书如何发挥作用?
2024-10-28 -
微信小程序开发指南!配置https证书需要多少钱?
2024-10-15 -
重大事件 | TLS安全因使用过时的WHOIS服务器而遭破坏
2024-09-25 -
关于“Geotrust”品牌证书不信任误解读声明
2024-07-15 -
SSL证书选便宜的还是贵的?
2024-07-02 -
央企密码中台建设:高效与安全并存的数字化转型必然选择
2024-06-06 -
政府网站数据安全防护这样做,兼容性与国密算法合规性兼顾
2024-05-14 -
Digicert全球价格调整策略-中国区市场指导价格执行通知
2024-05-09 -
在金融移动安全领域,SSL证书、代码签名证书如何发挥作用?
2024-10-28 -
微信小程序开发指南!配置https证书需要多少钱?
2024-10-15 -
重大事件 | TLS安全因使用过时的WHOIS服务器而遭破坏
2024-09-25 -
关于“Geotrust”品牌证书不信任误解读声明
2024-07-15 -
SSL证书选便宜的还是贵的?
2024-07-02 -
央企密码中台建设:高效与安全并存的数字化转型必然选择
2024-06-06 -
政府网站数据安全防护这样做,兼容性与国密算法合规性兼顾
2024-05-14 -
Digicert全球价格调整策略-中国区市场指导价格执行通知
2024-05-09 -
在金融移动安全领域,SSL证书、代码签名证书如何发挥作用?
2024-10-28 -
微信小程序开发指南!配置https证书需要多少钱?
2024-10-15 -
重大事件 | TLS安全因使用过时的WHOIS服务器而遭破坏
2024-09-25 -
关于“Geotrust”品牌证书不信任误解读声明
2024-07-15 -
SSL证书选便宜的还是贵的?
2024-07-02 -
央企密码中台建设:高效与安全并存的数字化转型必然选择
2024-06-06 -
政府网站数据安全防护这样做,兼容性与国密算法合规性兼顾
2024-05-14 -
Digicert全球价格调整策略-中国区市场指导价格执行通知
2024-05-09
