Подмена хостнейма WHOIS-сервиса .MOBI
Иногда спрашивают: почему (некоторые) УЦ TLS не поддерживают подтверждение права управления доменом с использованием WHOIS-запросов? Вот появился очередной практический пример, иллюстрирующий, почему тут не нужно использовать WHOIS ни в каком виде: исследователи зарегистрировали домен, ранее служивший хостнеймом для whois-сервиса зоны .MOBI, и, как утверждается, получили потенциальную возможность подтверждать право управления доменом по запросам от УЦ, подставляя произвольный адрес e-mail в ответ (“потенциальную” – потому что сертификат исследователи заказывать не стали).
Подтверждение (валидация) права управления доменом (DCV – Domain Control Validation) – основа процесса выпуска TLS-сертификатов публичным УЦ. Понятно, что и ответы из WHOIS должны дополнительно валидироваться, и актуальность хостнейма сервера – контролироваться. Однако, каждый новый поддерживаемый метод DCV создаёт риски, а особенно велики эти риски, когда метод подразумевает использование дополнительных протоколов. Вообще, для автоматического выполнения DCV сейчас есть только один полностью подходящий способ: публикация TXT-записи с заданным значением в DNS. Но и тут имеется куча оговорок, конечно. При этом, уже и близкий метод – HTTP-запрос, – существенно хуже, пусть и использует DNS для передачи A-записей.
Адрес записки: https://dxdt.ru/2024/09/11/13866/
Похожие записки:
- TLS: выбор сертификата по УЦ в зависимости от браузера
- Контринтуитивное восприятие ИИ на примере из криптографии
- X25519Kyber768 в браузере Chrome 124
- Полностью зашифрованные протоколы и DPI-блокирование
- RCE через ssh-agent
- TLS для DevOps
- Квантовые атаки на решётки
- Open Source и добавление "вредоносного кода"
- Письмо про приостановку разработки ИИ
- Автомобили, "подключенные" для сбора данных
- Google и телефонные номера для авторизации
Написать комментарий