蓝点网
·
CA/浏览器论坛讨论禁用WHOIS验证签发证书 因为这种验证方式根本不靠谱
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
CA / Browser Forum讨论取消基于WHOIS验证的TLS证书颁发,因其不可靠。watchTour的研究人员发现了一个缺陷,允许他们获取任何MOBI域的TLS证书。谷歌建议从2024年11月开始停止依赖WHOIS信息进行域名TLS证书颁发,但其他CA组织建议延迟至2025年4月。Digicert还提议使用RDAP协议替代WHOIS验证。
🎯
关键要点
- CA / 浏览器论坛讨论取消基于WHOIS验证的TLS证书颁发,因其不可靠。
- watchTowr研究人员发现了一个缺陷,允许他们获取任何MOBI域的TLS证书。
- CA机构仍将旧的WHOIS服务器域名视为官方服务器,导致安全隐患。
- 谷歌建议从2024年11月开始停止依赖WHOIS信息进行域名TLS证书颁发。
- 其他CA组织建议将停止时间延迟至2025年4月,以便IT管理员有更多时间切换验证方式。
- Digicert提议使用RDAP协议替代WHOIS验证,RDAP是WHOIS的后继者。
❓
延伸问答
为什么CA/浏览器论坛讨论取消WHOIS验证的TLS证书颁发?
因为WHOIS验证方式被认为不可靠,存在安全隐患。
watchTowr研究人员发现了什么缺陷?
他们发现可以伪造WHOIS服务器,从而获取任意MOBI域名的TLS证书。
谷歌对WHOIS验证的建议是什么?
谷歌建议从2024年11月开始停止依赖WHOIS信息进行TLS证书颁发。
其他CA组织对停止WHOIS验证的看法是什么?
他们建议将停止时间延迟至2025年4月,以便IT管理员有更多时间切换验证方式。
Digicert提议使用什么替代WHOIS验证?
Digicert提议使用RDAP协议作为WHOIS验证的替代。
WHOIS验证的机制是如何运作的?
CA向域名管理员发送电子邮件,管理员点击链接确认,依赖于WHOIS信息中的预留电子邮件。
➡️
