近期,安全研究人员发现,过时的WHOIS服务器存在严重安全漏洞,可能被用于伪造TLS/SSL证书,威胁互联网安全。这一发现促使CA/B论坛发起投票,考虑弃用基于WHOIS登记邮箱的域名控制验证(DCV)方法,以提高互联网的整体安全性。
WHOIS协议起源于20世纪80年代早期,用于查询域名和IP地址的信息,通常通过TCP 43端口返回文本记录,其中包含域名的注册时间、注册商、到期时间、所有者以及其联系信息等数据。
管理顶级域名(TLD)如.com、.org、.net等的组织负责这些信息的管理,并操作各自的WHOIS服务器。这些服务器在由互联网数字分配机构(IANA)管理的互联网根区数据库中列出。IANA隶属于互联网名称与数字地址分配机构(ICANN), IANA提供自己的WHOIS服务器(whois.iana.org),可以通过查询该服务器获取特定TLD的WHOIS服务器地址。
当前全球超过1500个顶级域名,涵盖3.5亿多个注册域名。查询WHOIS信息的应用程序通常会先查询whois.iana.org,获取当前的WHOIS服务器地址,然后再对特定域名进行查询。为了减少查询请求的数量,尤其是在处理大量IP地址或主机名时,WHOIS客户端通常使用硬编码的WHOIS服务器列表,或者依赖使用过时服务器列表的服务。
为了让开发人员更轻松地以编程方式查询域或IP注册信息,IETF创建了注册数据访问协议(RDAP),该协议以JSON格式返回结果。ICANN已要求所有通用TLD在2024年2月之前提供标准化RDAP服务,但这不适用于国家级TLD,因此WHOIS协议不会很快消失。
在调查WHOIS客户端中的远程代码执行(RCE)漏洞时,watchTowr的研究人员需要控制一个WHOIS服务器来提供恶意的响应。在现实中,这样的攻击只能通过中间人攻击来拦截请求并冒充服务器,或者通过接管WHOIS客户端查询的服务器来进行。
接管域名注册局的WHOIS服务器看似是一个难以实现的前提,但研究人员发现了一个重大漏洞。几年前,.mobi的WHOIS服务器域名变更,注册局让之前的域名过期了,研究人员以20美元购买了.mobi顶级域名的旧WHOIS服务器域名,意外发现,成千上万的系统仍然向该旧地址发起查询。这表明,攻击者可能利用这一漏洞,通过恶意负载注入到WHOIS客户端。这种情况,可能让攻击者劫持旧的WHOIS服务器域名,冒充域名所有者,引发多种攻击,包括为非自己所有的域名获取非法的TLS证书。
“互联网中的WHOIS客户端,包括电子邮件服务器和证书颁发机构,仍在依赖过时的WHOIS服务器记录,这可能让攻击者劫持旧的WHOIS服务器域名,并冒充域名所有者,这种情况可能引发多种攻击,包括为非自己所有的域名获取非法的TLS证书。”研究人员写道。(博客原文:https://labs.watchtowr.com/we-spent-20-to-achieve-rce-and-accidentally-became-the-admins-of-mobi/)
9月16日,Google在CA/B论坛内部发起关于弃用基于WHOIS的域验证方法的投票。该提案规定,禁止依赖WHOIS来识别域名联系人,拟定2024年11月1日起生效。
很多机构表示支持此提议,AWS在今年2月份曾发布公告,通过电子邮件验证TLS证书时,ACM将停止使用WHOIS查询来验证域所有权;Sectigo也已于近日发布公告,即将弃用基于WHOIS的域验证方法,建议客户尽快迁移至其他替代方法。
目前投票讨论仍在继续,预计在9月23日后会有一个初步结果。基于目前的趋势,沃通强烈建议客户尽快将基于WHOIS登记邮箱的域名验证方法,切换到不依赖 WHOIS记录的域名验证方法。
ICANN已将2025年1月28日定为WHOIS“日落日期”,届时通用顶级域名(gTLD)注册机构将不再需要运行WHOIS服务器,而只需提供RDAP服务。域名所有者可以通过设置证书颁发机构授权(CAA)记录来指定哪些CA被允许为特定域名颁发证书。
此外,为了简化域名验证流程,增强其自动化,域名所有者应考虑实施自动化工具,定期检查其DNS配置和CAA记录,确保始终反映最新的安全需求。结合API接口与CA系统集成,可以实现证书申请和管理的自动化,降低人为错误和操作成本。
值得强调的是,CA必须在证书透明度(CT)日志中发布其颁发的证书。域名所有者可以监控这些日志,以自动发现是否有任何未经授权的证书颁发给他们的域名。
随着互联网安全威胁的不断演变,弃用过时的WHOIS验证方法,转向更安全的验证机制,对于保护互联网通信的安全至关重要。通过实施RDAP和CAA记录,我们可以提高域名验证的安全性,减少恶意攻击的可能性,确保互联网用户的数据安全。
参考来源:公钥密码开放社区、CSO、Scmagazine、Sectigo等