Imagens Getty
As autoridades de certificação e os fabricantes de navegadores estão planejando acabar com o uso de QUEM É dados verificando a propriedade do domínio após um relatório que demonstrou como os agentes de ameaças podem abusar do processo para obter certificados TLS emitidos de forma fraudulenta.
Os certificados TLS são as credenciais criptográficas que sustentam as conexões HTTPS, um componente crítico das comunicações on-line que verifica se um servidor pertence a uma entidade confiável e criptografa todo o tráfego que passa entre ele e um usuário ultimate. Essas credenciais são emitidas por qualquer uma das centenas de CAs (autoridades de certificação) para proprietários de domínio. As regras de como os certificados são emitidos e o processo de verificação do proprietário legítimo de um domínio são deixados para o Fórum CA/Browser. Uma “regra de requisito base” permite que CAs enviem um e-mail para um endereço listado no registro WHOIS para o domínio que está sendo solicitado. Quando o destinatário clica em um hyperlink incluso, o certificado é aprovado automaticamente.
Dependências não triviais
Pesquisadores da empresa de segurança watchTowr demonstraram recentemente como os agentes de ameaças podem abusar da regra para obter certificados emitidos fraudulentamente para domínios que não eram seus. A falha de segurança resultou da falta de regras uniformes para determinar a validade de websites que alegam fornecer registros oficiais do WHOIS.
Especificamente, os pesquisadores do watchTowr conseguiram receber um hyperlink de verificação para qualquer domínio terminado em .mobi, incluindo aqueles que não eram seus. Os pesquisadores fizeram isso implantando um servidor WHOIS falso e preenchendo-o com registros falsos. A criação do servidor falso foi possível porque dotmobiregistry.internet — o domínio anterior que hospedava o servidor WHOIS para domínios .mobi — foi autorizado a expirar após o servidor ser realocado para um novo domínio. Os pesquisadores do watchTowr registraram o domínio, configuraram o servidor WHOIS impostor e descobriram que as CAs continuaram a confiar nele para verificar a propriedade de domínios .mobi.
A pesquisa não escapou à atenção do CA/Browser Discussion board (CAB Discussion board). Na segunda-feira, um membro que representa o Google proposto acabando com a dependência de dados WHOIS para verificação de propriedade de domínio “à luz de eventos recentes em que pesquisas do watchTowr Labs demonstraram como agentes de ameaças podem explorar o WHOIS para obter certificados TLS emitidos de forma fraudulenta”.
O proposta formal pede que a confiança nos dados WHOIS “se apague” no início de novembro. Estabelece especificamente que “CAs NÃO DEVEM confiar no WHOIS para identificar Contatos de Domínio” e que “A partir de 1º de novembro de 2024, validações usando este método (verificação de e-mail) NÃO DEVEM confiar no WHOIS para identificar informações de Contato de Domínio.”
Desde a submissão de segunda-feira, mais de 50 comentários de acompanhamento foram postados. Muitas das respostas expressaram apoio à mudança proposta. Outros têm questionado a necessidade de uma mudança conforme proposta, dado que a falha de segurança descoberta pelo watchTowr afeta apenas um único domínio de nível superior.
Um representante da Amazon, por sua vez, observado que a empresa implementou anteriormente um mudança unilateral em que o AWS Certificates Supervisor fará a transição completa para longe da dependência de registros WHOIS. O representante disse aos membros do CAB Discussion board que o prazo proposto pelo Google de 1º de novembro pode ser muito rigoroso.
“Recebemos suggestions dos clientes de que, para alguns, essa é uma dependência não trivial a ser removida”, disse o representante da Amazon. escreveu. “Não é incomum que empresas tenham construído automação em cima da validação de e-mail. Com base nas informações que obtivemos, recomendo uma knowledge de 30 de abril de 2025.”
Certificado digital CA endossado Proposta da Amazon para estender o prazo. A Digicert propôs que, em vez de usar registros WHOIS, as CAs usem o sucessor do WHOIS conhecido como Protocolo de acesso a dados de registro.
As mudanças propostas estão formalmente na fase de discussão das deliberações. Não está claro quando a votação formal sobre a mudança começará.