Google bën thirrje për ndalimin e përdorimit të WHOIS për verifikimet e domenit TLS

foto

Digital generated image of electronic circuit security padlock made out of numbers on black background.

Autoritetet e certifikatave dhe krijuesit e shfletuesit po planifikojnë t’i japin fund përdorimit të të dhënave WHOIS që verifikojnë pronësinë e domenit pas një raporti që demonstroi se si aktorët e kërcënimit mund të abuzojnë me procesin për të marrë certifikata TLS të lëshuara në mënyrë mashtruese.

foto

Certifikatat TLS janë kredencialet kriptografike që mbështesin lidhjet HTTPS, një komponent kritik i komunikimit në internet që verifikon që një server i përket një entiteti të besuar dhe kodon të gjithë trafikun që kalon midis tij dhe një përdoruesi fundor. Këto kredenciale lëshohen nga cilido prej qindra CA-ve (autoritetet e certifikimit) për pronarët e domenit. Rregullat për mënyrën se si lëshohen certifikatat dhe procesi për verifikimin e pronarit të ligjshëm të një domeni i janë lënë Forumit CA/Browser. Një “rregull i kërkesës bazë” i lejon CA-të të dërgojnë një email në një adresë të listuar në rekordin WHOIS për domenin për të cilin aplikohet. Kur marrësi klikon një lidhje të mbyllur, certifikata miratohet automatikisht.

foto

Studiuesit nga firma e sigurisë WatchTowr demonstruan kohët e fundit se si aktorët e kërcënimit mund të abuzojnë me rregullin për të marrë certifikata të lëshuara në mënyrë mashtruese për domenet që nuk i zotëronin. Dështimi i sigurisë rezultoi nga mungesa e rregullave uniforme për përcaktimin e vlefshmërisë së sajteve që pretendojnë se ofrojnë të dhëna zyrtare të WHOIS.
Konkretisht, studiuesit e WatchTowr ishin në gjendje të merrnin një lidhje verifikimi për çdo domen që mbaronte me mobi, duke përfshirë ato që nuk zotëronin. Studiuesit e bënë këtë duke vendosur një server të rremë WHOIS dhe duke e populluar atë me regjistrime të rreme. Krijimi i serverit të rremë ishte i mundur sepse dotmobiregistry.net – domeni i mëparshëm që pret serverin WHOIS për domenet .mobi – u lejua të skadonte pasi serveri u zhvendos në një domen të ri. Studiuesit e watchTowr regjistruan domenin, krijuan serverin mashtrues WHOIS dhe zbuluan se CA-të vazhduan të mbështeteshin në të për të verifikuar pronësinë e domeneve .mobi.

Hulumtimi nuk i ka shpëtuar vëmendjes së Forumit CA/Browser (Forumi CAB). Të hënën, një anëtar që përfaqëson Google propozoi t’i jepet fund mbështetjes në të dhënat e WHOIS për verifikimin e pronësisë së domenit “në dritën e ngjarjeve të fundit ku hulumtimi nga WatchTowr Labs tregoi se si aktorët e kërcënimit mund të shfrytëzonin WHOIS për të marrë certifikata TLS të lëshuara në mënyrë mashtruese”.

Propozimi zyrtar bën thirrje për mbështetje në të dhënat e WHOIS deri në “perëndim të diellit” në fillim të nëntorit. Ai përcakton në mënyrë specifike se “CA-të NUK DUHET të mbështeten te WHOIS për të identifikuar kontaktet e domenit” dhe se “nga 1 nëntori 2024, vërtetimet që përdorin këtë metodë [verifikimi me email] NUK DUHET të mbështeten te WHOIS për të identifikuar informacionin e kontaktit të domenit”.

Që nga dorëzimi i së hënës, janë postuar më shumë se 50 komente vijuese. Shumë nga përgjigjet shprehnin mbështetje për ndryshimin e propozuar. Të tjerë kanë vënë në pikëpyetje nevojën për një ndryshim siç është propozuar, duke pasur parasysh se dështimi i sigurisë i zbuluar WatchTowr dihet se prek vetëm një domen të vetëm të nivelit të lartë.

Një përfaqësues i Amazon, ndërkohë, vuri në dukje se kompania më parë zbatoi një ndryshim të njëanshëm në të cilin Menaxheri i Certifikatave AWS do të largohet plotësisht nga mbështetja në të dhënat WHOIS. Përfaqësuesi u tha anëtarëve të Forumit CAB se afati i propozuar i Google deri më 1 nëntor mund të jetë shumë i rreptë.

“Ne morëm reagime nga klientët se për disa kjo është një varësi jo e parëndësishme për t’u hequr,” shkroi përfaqësuesi i Amazon. “Nuk është e pazakontë që kompanitë të kenë ndërtuar automatizim në krye të vërtetimit të emailit. Bazuar në informacionin që morëm, rekomandoj një datë 30 Prill 2025.”

CA Digicert miratoi propozimin e Amazon për të zgjatur afatin. Digicert vazhdoi të propozonte që në vend të përdorimit të të dhënave WHOIS, CA-të të përdorin pasardhësin WHOIS të njohur si Protokolli i Qasjes së të Dhënave të Regjistrimit.

Ndryshimet e propozuara janë zyrtarisht në fazën e diskutimit të diskutimeve. Është e paqartë se kur do të fillojë votimi zyrtar për ndryshimin.