Google выступила с призывом прекратить использование WHOIS для проверки владения доменом при выдаче сертификатов TLS после тревожных выводов, сделанных компанией watchTowr. Их исследование показало, что «угрожающие лица» могут использовать данные WHOIS для получения поддельных сертификатов TLS.
В настоящее время центры сертификации проверяют принадлежность доменов, отправляя электронные письма на адреса, указанные в записях WHOIS. Однако исследователи продемонстрировали, что, создав поддельный WHOIS-сервер для доменов .mobi, они могут получать ссылки для проверки доменов, которые им не принадлежат.
В ответ на это представитель Google предложил Форуму CA/Browser Forum (CAB Forum), чтобы CA больше не полагались на WHOIS для идентификации доменных контактов, предложив «отменить» эту практику к 1 ноября 2024 года. Хотя многие поддержали это предложение, некоторые представители отрасли, в том числе представители Amazon, выступают за продление срока, ссылаясь на сложности, связанные с переходом от WHOIS. Они предлагают альтернативную дату — 30 апреля 2025 года, чтобы компании успели соответствующим образом настроить свои системы.
Источник новости: www.ferra.ru