Google 网络工程师呼吁停止将 WHOIS 用于 TLS 域名验证
CA 和浏览器开发商计划停止将 WHOIS 用于 TLS 域名验证。
CA/Browser Forum 允许 CA 向 WHOIS 记录中列出的电子邮件发送邮件,当接收者点击链接后其申请的证书将会自动获得批准。
知名安全公司 watchTowr 的研究人员演示了攻击者如何滥用该规则欺诈性的获取他们不拥有的域名证书。这一安全漏洞是因为缺乏统一规则判断声称提供官方 WHOIS 记录的网站的有效性。
审计人员通过部署假的 WHOIS 服务器和假的 IP 记录实现了漏洞利用。
Google 工程师鉴于此漏洞,因此提议停止将 WHOIS 用于域名验证。
英文原地址:
https://arstechnica.com/security/2024/09/google-calls-for-halting-use-of-whois-for-tls-domain-verifications/
原文地址:https://blog.csdn.net/bugsycrack/article/details/142510726
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!