Google bën thirrje për ndalimin e përdorimit të WHOIS për verifikimet e domenit TLS
Digital generated image of electronic circuit security padlock made out of numbers on black background.
Autoritetet e certifikatave dhe krijuesit e shfletuesit po planifikojnë t’i japin fund përdorimit të të dhënave WHOIS që verifikojnë pronësinë e domenit pas një raporti që demonstroi se si aktorët e kërcënimit mund të abuzojnë me procesin për të marrë certifikata TLS të lëshuara në mënyrë mashtruese.
Certifikatat TLS janë kredencialet kriptografike që mbështesin lidhjet HTTPS, një komponent kritik i komunikimit në internet që verifikon që një server i përket një entiteti të besuar dhe kodon të gjithë trafikun që kalon midis tij dhe një përdoruesi fundor. Këto kredenciale lëshohen nga cilido prej qindra CA-ve (autoritetet e certifikimit) për pronarët e domenit. Rregullat për mënyrën se si lëshohen certifikatat dhe procesi për verifikimin e pronarit të ligjshëm të një domeni i janë lënë Forumit CA/Browser. Një “rregull i kërkesës bazë” i lejon CA-të të dërgojnë një email në një adresë të listuar në rekordin WHOIS për domenin për të cilin aplikohet. Kur marrësi klikon një lidhje të mbyllur, certifikata miratohet automatikisht.
Studiuesit nga firma e sigurisë WatchTowr demonstruan kohët e fundit se si aktorët e kërcënimit mund të abuzojnë me rregullin për të marrë certifikata të lëshuara në mënyrë mashtruese për domenet që nuk i zotëronin. Dështimi i sigurisë rezultoi nga mungesa e rregullave uniforme për përcaktimin e vlefshmërisë së sajteve që pretendojnë se ofrojnë të dhëna zyrtare të WHOIS.
Konkretisht, studiuesit e WatchTowr ishin në gjendje të merrnin një lidhje verifikimi për çdo domen që mbaronte me mobi, duke përfshirë ato që nuk zotëronin. Studiuesit e bënë këtë duke vendosur një server të rremë WHOIS dhe duke e populluar atë me regjistrime të rreme. Krijimi i serverit të rremë ishte i mundur sepse dotmobiregistry.net – domeni i mëparshëm që pret serverin WHOIS për domenet .mobi – u lejua të skadonte pasi serveri u zhvendos në një domen të ri. Studiuesit e watchTowr regjistruan domenin, krijuan serverin mashtrues WHOIS dhe zbuluan se CA-të vazhduan të mbështeteshin në të për të verifikuar pronësinë e domeneve .mobi.
Hulumtimi nuk i ka shpëtuar vëmendjes së Forumit CA/Browser (Forumi CAB). Të hënën, një anëtar që përfaqëson Google propozoi t’i jepet fund mbështetjes në të dhënat e WHOIS për verifikimin e pronësisë së domenit “në dritën e ngjarjeve të fundit ku hulumtimi nga WatchTowr Labs tregoi se si aktorët e kërcënimit mund të shfrytëzonin WHOIS për të marrë certifikata TLS të lëshuara në mënyrë mashtruese”.
Propozimi zyrtar bën thirrje për mbështetje në të dhënat e WHOIS deri në “perëndim të diellit” në fillim të nëntorit. Ai përcakton në mënyrë specifike se “CA-të NUK DUHET të mbështeten te WHOIS për të identifikuar kontaktet e domenit” dhe se “nga 1 nëntori 2024, vërtetimet që përdorin këtë metodë [verifikimi me email] NUK DUHET të mbështeten te WHOIS për të identifikuar informacionin e kontaktit të domenit”.
Që nga dorëzimi i së hënës, janë postuar më shumë se 50 komente vijuese. Shumë nga përgjigjet shprehnin mbështetje për ndryshimin e propozuar. Të tjerë kanë vënë në pikëpyetje nevojën për një ndryshim siç është propozuar, duke pasur parasysh se dështimi i sigurisë i zbuluar WatchTowr dihet se prek vetëm një domen të vetëm të nivelit të lartë.
Një përfaqësues i Amazon, ndërkohë, vuri në dukje se kompania më parë zbatoi një ndryshim të njëanshëm në të cilin Menaxheri i Certifikatave AWS do të largohet plotësisht nga mbështetja në të dhënat WHOIS. Përfaqësuesi u tha anëtarëve të Forumit CAB se afati i propozuar i Google deri më 1 nëntor mund të jetë shumë i rreptë.
“Ne morëm reagime nga klientët se për disa kjo është një varësi jo e parëndësishme për t’u hequr,” shkroi përfaqësuesi i Amazon. “Nuk është e pazakontë që kompanitë të kenë ndërtuar automatizim në krye të vërtetimit të emailit. Bazuar në informacionin që morëm, rekomandoj një datë 30 Prill 2025.”
CA Digicert miratoi propozimin e Amazon për të zgjatur afatin. Digicert vazhdoi të propozonte që në vend të përdorimit të të dhënave WHOIS, CA-të të përdorin pasardhësin WHOIS të njohur si Protokolli i Qasjes së të Dhënave të Regjistrimit.
Ndryshimet e propozuara janë zyrtarisht në fazën e diskutimit të diskutimeve. Është e paqartë se kur do të fillojë votimi zyrtar për ndryshimin.