Google и консорциум центров сертификации планируют отказаться от использования базы доменных данных WHOIS
Google планирует отказаться от использования для проверки права собственности на домен базы данных WHOIS. Более того, компания призывает сделать тоже самое и всех прочих разработчиков браузеров. Основанием для этого послужил отчёт об исследовании, в результате которого выяснилось, как хакеры могут использовать существующий механизм для подтверждения сертификатов TLS, выпущенных мошенническим способом.
Исследования проводились специалистами платформы кибербезопасности watchTower (Сингапур). С целью обнаружить уязвимости они воспользовались «Правилом базового требования», которое позволяет центрам сертификации после получения соответствующего запроса отправлять ссылку для подтверждения собственности на домен на тот электронный адрес, который указан для данного домена в базе WHOIS. Сертификат считается одобренным, как только пользователь нажимает на полученную ссылку.
Используя данный механизм, эксперты смогли получить ссылки для подтверждения действительности фальшивых сертификатов на все домены второго уровня вида *.mobi. Удалось им это благодаря тому, что при перенесении сервера WHOIS, обслуживающего .mobi, на новый домен, старый домен остался рабочим, хотя срок его регистрации истёк. Тогда исследователи зарегистрировали домен и разместили на нём поддельный сервер WHOIS заполненный подложными данными. После его настройки обнаружилось, что центры сертификации присылают ссылки для одобрения сертификатов TLS на все домены *.mobi, полагаясь на данные поддельной базы.
После обнародования результатов исследования watchTower, консорциум центров сертификации CA/Browser Forum внёс предложение отказаться от использования с целью проверки подлинности права собственности на домен баз данных WHOIS. При этом сроком предполагаемого отказа они назвали ноябрь месяц текущего года. Стоит отметить, что их не смутило то, что уязвимость была обнаружена только для одного домена верхнего уровня – mobi.
Поддержал инициативу Amazon, уточнив, что их центр сертификации уже некоторое время назад начал процедуру отказа от использования записей WHOIS. Однако в этой компании рекомендовали перенести сроки полного отказа на последние дни апреля наступающего года.
Согласны с представителями Amazon и в CA Digicert. Они же предложили использовать в качестве альтернативы WHOIS его приемника – протокол RDAP.
Впрочем, все вышесказанное пока только обсуждается. В настоящий момент даже неясно будет ли этот вопрос вынесен на официальное голосование.
Что касается Российской Федерации, то ещё в апреле текущего года Центр мониторинга сетей связи «Главного радиочастотного центра» объявил о запуске аналога WHOIS, а также Реестра адресно-номерных ресурсов российского сегмента интернета (РАНР). Данный сервис позволяет получить информацию как о самих доменах, так и об IP-адресах, веб-серверах и почтовых серверах, которые ими используются.
Стоит напомнить, что сертификаты TLS – это зашифрованные учётные данные, которые подтверждают принадлежность сервера определённому субъекту. Данные технологии являются основой соединения по протоколу HTTPS.