Подмена хостнейма WHOIS-сервиса .MOBI
Иногда спрашивают: почему (некоторые) УЦ TLS не поддерживают подтверждение права управления доменом с использованием WHOIS-запросов? Вот появился очередной практический пример, иллюстрирующий, почему тут не нужно использовать WHOIS ни в каком виде: исследователи зарегистрировали домен, ранее служивший хостнеймом для whois-сервиса зоны .MOBI, и, как утверждается, получили потенциальную возможность подтверждать право управления доменом по запросам от УЦ, подставляя произвольный адрес e-mail в ответ (“потенциальную” – потому что сертификат исследователи заказывать не стали).
Подтверждение (валидация) права управления доменом (DCV – Domain Control Validation) – основа процесса выпуска TLS-сертификатов публичным УЦ. Понятно, что и ответы из WHOIS должны дополнительно валидироваться, и актуальность хостнейма сервера – контролироваться. Однако, каждый новый поддерживаемый метод DCV создаёт риски, а особенно велики эти риски, когда метод подразумевает использование дополнительных протоколов. Вообще, для автоматического выполнения DCV сейчас есть только один полностью подходящий способ: публикация TXT-записи с заданным значением в DNS. Но и тут имеется куча оговорок, конечно. При этом, уже и близкий метод – HTTP-запрос, – существенно хуже, пусть и использует DNS для передачи A-записей.
Адрес записки: https://dxdt.ru/2024/09/11/13866/
Похожие записки:
- Удаление "неактивных" google-аккаунтов
- Нормализация символов Unicode и доменные имена
- Занятный замок Fichet 787
- Подпись и использование ключей из TLS-сертификатов для веба
- Быстрые, но "нечестные" подписи в DNSSEC
- Постквантовые криптосистемы на экспериментальном сервере TLS
- Приложение про DNS к описанию TLS
- Реплика: перемешивающие сети Google и фильтрация
- Технические подробности: постквантовая криптосистема X25519Kyber768 в TLS
- Статья Cloudflare про ECH/ESNI
- Twitter за стеной регистрации
Написать комментарий