在2025年3月实施的变化中,CA/浏览器论坛进行多项变更并且也确实按计划弃用WHOIS验证方式从而提高隐私性,WHOIS是域名注册信息默认是公开的,但基于隐私考虑多数域名都会隐藏真实的WHOIS信息。
WHOIS验证主要靠域名管理员邮箱,隐藏真实信息后实际上无法通过邮箱验证,另外此前还出现过WHOIS忘记续费某个Mobi域名导致被研究人员注册,该网站收到包括CA在内的巨量网站发送的请求,研究人员实际上可以借助该域名欺骗CA从而获得数字证书。根据当前计划WHOIS验证会在7月15日生效,届时基于WHOIS的电子邮件、电话、传真或实体邮件等验证方式会被彻底弃用,对大多数网站来说这基本不会产生影响。
除了弃用WHOIS验证外,这次实施的策略中还包括多方发行验证MPIC以及凭证检查Linting,这两项要求都是用于增强安全验证,避免攻击者通过潜在的弱点申请特定域名的证书。
原本证书申请者通过在网域中添加随机值用于检查,如果检查通过则CA默认申请者确实拥有该网站的控制权因此也可以签发证书,但CA是通过单一路由检查这个随机值是否添加的。
此前曾发生过黑客通过BGP劫持方式用来劫持特定流量,从而欺骗CA成功获得数字证书,现在MPIC机制则会从多个不同的地理位置或网络服务提供商进行相同的验证,这样可以减低类似的BGP劫持攻击。
凭证检查Linting是个自动化流程用于分析凭证以及防止错误、不一致和不合标准的情况,以前CA可选凭证检查,从3月15日开始凭证检查变成强制性措施,这可以降低潜在的错误。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】