Skip to main content

Google pide detener el uso de WHOIS para verificaciones de dominios TLS

Tendencia ahora
# Fecha
septiembre 22, 2024
# Categorías
# Siguenos



Las autoridades de certificación y los fabricantes de navegadores están planeando poner fin al uso de datos WHOIS para verificar la propiedad de los dominios tras un informe que demostró cómo los actores de amenazas podrían abusar del proceso para obtener certificados TLS emitidos de forma fraudulenta. Los investigadores de la empresa de seguridad watchTowr demostraron recientemente cómo los actores de amenazas podrían abusar de la regla para obtener certificados emitidos de forma fraudulenta para dominios que no eran de su propiedad. La falla de seguridad fue el resultado de la falta de reglas uniformes para determinar la validez de los sitios que afirman proporcionar registros WHOIS oficiales. En concreto, los investigadores de watchTowr pudieron recibir un enlace de verificación para cualquier dominio que terminara en .mobi, incluidos los que no eran de su propiedad. Los investigadores hicieron esto implementando un servidor WHOIS falso y llenándolo con registros falsos. La creación del servidor falso fue posible porque dotmobiregistry.net (el dominio anterior que alojaba el servidor WHOIS para los dominios .mobi) pudo expirar después de que el servidor se reubicara en un nuevo dominio. Los investigadores de watchTowr registraron el dominio, configuraron el servidor WHOIS impostor y descubrieron que las CA seguían confiando en él para verificar la propiedad de los dominios .mobi. La investigación no pasó inadvertida para el CA/Browser Forum (CAB Forum). El lunes, un miembro que representa a Google propuso poner fin a la dependencia de los datos WHOIS para la verificación de la propiedad del dominio «a la luz de los recientes acontecimientos en los que la investigación de watchTowr Labs demostró cómo los actores de amenazas podían explotar WHOIS para obtener certificados TLS emitidos de forma fraudulenta». La propuesta formal exige que la dependencia de los datos WHOIS «caduque» a principios de noviembre. Establece específicamente que «las CA NO DEBEN confiar en WHOIS para identificar los contactos de dominio» y que «a partir del 1 de noviembre de 2024, las validaciones que utilicen este [email verification] El método NO DEBE basarse en WHOIS para identificar la información de contacto del dominio”.



Source link

Comunicaciones