Google призывает прекратить использование WHOIS для проверки доменов TLS

Центры сертификации и разработчики браузеров планируют прекратить использование данных WHOIS для подтверждения права собственности на домен после отчёта, который продемонстрировал, как хакеры могут злоупотреблять этим процессом для получения мошенническим образом выпущенных сертификатов TLS.

Сертификаты TLS — это криптографические учётные данные, которые лежат в основе соединений HTTPS и подтверждают принадлежность сервера доверенному субъекту, шифрующего весь трафик, проходящий между ним и конечным пользователем. Они выдаются центрами сертификации. Правила выдачи сертификатов и процесс проверки законного владельца домена оставлены на усмотрение Certification Authority Browser Forum. «Правило базового требования» позволяет центру сертификации отправлять электронное письмо на адрес, указанный в записи WHOIS для домена, на который подаётся заявка. Когда получатель нажимает на прилагаемую ссылку, сертификат автоматически одобряется. 

Исследователи из компании по безопасности watchTowr недавно продемонстрировали, как злоумышленники могут злоупотреблять этим правилом для получения мошенническим образом выпущенных сертификатов для доменов, которыми они не владеют. Сбой безопасности произошёл из-за отсутствия единых правил определения действительности сайтов, заявляющих о предоставлении официальных записей WHOIS.

В частности, исследователи watchTowr смогли получить ссылку для проверки любого домена, заканчивающегося на .mobi, включая те, которыми они не владели. Исследователи сделали это, развернув поддельный сервер WHOIS и заполнив его поддельными записями. Создание поддельного сервера стало возможным, поскольку dotmobiregistry.net — предыдущий домен, на котором размещался сервер WHOIS для доменов .mobi, — ещё работал, хотя срок