近日，watchTowr Labs的安全研究人員在博客中發(fā)文指出，購(gòu)買(mǎi).mobi頂級(jí)域名（TLD）的前WHOIS服務(wù)器域名可能允許向攻擊者頒發(fā)無(wú)數(shù)欺詐性的TLS/SSL證書(shū)。

博客原文：https://labs.watchtowr.com/we-spent-20-to-achieve-rce-and-accidentally-became-the-admins-of-mobi/

研究人員在進(jìn)行測(cè)試時(shí)發(fā)現(xiàn)，一些證書(shū)頒發(fā)機(jī)構(gòu)（CA機(jī)構(gòu)）在網(wǎng)絡(luò)公鑰基礎(chǔ)設(shè)施（PKI）中為域名所有者頒發(fā)TLS證書(shū)仍在依賴舊的.mobi WHOIS服務(wù)器，通過(guò)該服務(wù)器獲取.mobi域名的電子郵件地址，以完成其域名控制驗(yàn)證（DCV）流程，進(jìn)而導(dǎo)致CA機(jī)構(gòu)錯(cuò)誤地簽發(fā)未經(jīng)授權(quán)的TLS證書(shū)。

它與HTTP、SMTP、IMAP或POP3等協(xié)議配合使用，從而創(chuàng)建這些協(xié)議的安全加密版本，如HTTPS、SMTPS、STARTTLS等。  

TLS依賴受信任的證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)的數(shù)字證書(shū)，以此驗(yàn)證瀏覽器、郵件服務(wù)器和郵件客戶端所連接服務(wù)器的真實(shí)身份。這個(gè)至關(guān)重要的過(guò)程旨在防止中間人攻擊或重定向攻擊，保護(hù)通信安全。  

為保障通信安全，CA機(jī)構(gòu)遵循特定流程，在為某個(gè)域名頒發(fā)TLS證書(shū)之前，必須驗(yàn)證該域名的所有權(quán)或控制權(quán)。 

目前，CA/B論壇認(rèn)為有三種驗(yàn)證方法是可接受的：

1.在域名指向的Web服務(wù)器根目錄下放置一個(gè)密鑰標(biāo)記；

2.在該域名的CNAME DNS記錄中放置密鑰標(biāo)記；

3.在該域名設(shè)定的管理員聯(lián)系郵箱中接收密鑰標(biāo)記。 

其中，域名設(shè)定的聯(lián)系郵箱獲取來(lái)源恰恰正是WHOIS記錄。  

CA/B論壇發(fā)起投票決定是否棄用基于WHOIS的域驗(yàn)證方法，、、等機(jī)構(gòu)表示支持此提議。

據(jù)悉，Bugzilla是Mozilla開(kāi)發(fā)和維護(hù)的一個(gè)開(kāi)源缺陷跟蹤系統(tǒng)，Mozilla的DEV安全策略郵件列表中也正就此問(wèn)題展開(kāi)討論。

谷歌正在提議CA/B論壇針對(duì)此項(xiàng)舉措進(jìn)行投票，如果該投票被通過(guò)，最早會(huì)從2024年11 月1日開(kāi)始所有CA都將棄用WHOIS登記郵箱進(jìn)行域名控制驗(yàn)證（DCV）。

這對(duì)用戶意味著什么？

為避免在月日或之后對(duì)證書(shū)驗(yàn)證流程造成潛在中斷，部分用戶 登記郵箱的域名驗(yàn)證方法切換到不依賴記錄的方法，選用另外兩種電子郵件域名控制驗(yàn)證方法， Constructed Email（5個(gè)結(jié)構(gòu)化Whois郵箱和MX記錄） 和Email to DNS TXT 聯(lián)系方式。當(dāng)然，DNS TXT等其他DCV方式仍可以繼續(xù)使用，也更為常用。

除此之外，也可以通過(guò)DNS驗(yàn)證的方式添加Email地址來(lái)進(jìn)行郵件驗(yàn)證，這樣可以保證每年都可以直接這個(gè)郵箱地址來(lái)接收域名驗(yàn)證郵件。