Imágenes falsas
Las autoridades certificadoras y los fabricantes de navegadores están planeando poner fin al uso de QUIÉN ES datos que verifican la propiedad del dominio luego de un informe que demostró cómo los actores de amenazas podrían abusar del proceso para obtener certificados TLS emitidos de manera fraudulenta.
Los certificados TLS son las credenciales criptográficas que sustentan las conexiones HTTPS, un componente crítico de las comunicaciones en línea que verifica que un servidor pertenece a una entidad confiable y cifra todo el tráfico que pasa entre este y un usuario final. Estas credenciales son emitidas por cualquiera de los cientos de CA (autoridades certificadoras) a los propietarios de dominios. Las reglas sobre cómo se emiten los certificados y el proceso para verificar el propietario legítimo de un dominio se dejan en manos del CA/Foro del Navegador. Una “regla de requisitos básicos” permite a las CA enviar un correo electrónico a una dirección que figura en el registro WHOIS del dominio que se solicita. Cuando el receptor hace clic en un enlace adjunto, el certificado se aprueba automáticamente.
Dependencias no triviales
Investigadores de la firma de seguridad watchTowr demostraron recientemente cómo los actores de amenazas podrían abusar de la regla para certificados emitidos fraudulentamente para dominios que no eran de su propiedad. La falla de seguridad se debió a la falta de reglas uniformes para determinar la validez de los sitios que afirman proporcionar registros oficiales de WHOIS.
Específicamente, los investigadores de watchTowr pudieron recibir un enlace de verificación para cualquier dominio que terminara en .mobi, incluidos los que no eran de su propiedad. Los investigadores hicieron esto implementando un servidor WHOIS falso y llenándolo con registros falsos. La creación del servidor falso fue posible porque a dotmobiregistry.net, el dominio anterior que albergaba el servidor WHOIS para dominios .mobi, se le permitió caducar después de que el servidor se reubicó en un nuevo dominio. Los investigadores de watchTowr registraron el dominio, configuraron el servidor WHOIS impostor y descubrieron que las CA seguían dependiendo de él para verificar la propiedad de los dominios .mobi.
La investigación no pasó desapercibida para el CA/Browser Forum (CAB Forum). El lunes, un miembro que representa a Google propuesto poner fin a la dependencia de los datos de WHOIS para la verificación de la propiedad del dominio “a la luz de eventos recientes en los que la investigación de watchTowr Labs demostró cómo los actores de amenazas podrían explotar WHOIS para obtener certificados TLS emitidos de manera fraudulenta”.
El propuesta formal pide que se dependa de los datos de WHOIS hasta su “extinción” a principios de noviembre. Establece específicamente que “las CA NO DEBEN confiar en WHOIS para identificar contactos de dominio” y que “a partir del 1 de noviembre de 2024, las validaciones que utilizan este método (de verificación por correo electrónico) NO DEBEN depender de WHOIS para identificar información de contactos de dominio”.
Desde la presentación del lunes, se han publicado más de 50 comentarios de seguimiento. Muchas de las respuestas expresaron apoyo al cambio propuesto. Otros tienen cuestionado la necesidad de un cambio como el propuesto, dado que se sabe que la falla de seguridad descubierta por watchTowr afecta solo a un dominio de nivel superior.
Mientras tanto, un representante de Amazon, anotado que la empresa implementó previamente un cambio unilateral en el que AWS Certificate Manager dejará completamente de depender de los registros de WHOIS. El representante dijo a los miembros del Foro CAB que la fecha límite propuesta por Google del 1 de noviembre puede ser demasiado estricta.
“Recibimos comentarios de los clientes de que para algunos esta es una dependencia no trivial que hay que eliminar”, dijo el representante de Amazon. escribió. “No es raro que las empresas hayan incorporado la automatización además de la validación del correo electrónico. Según la información que obtuvimos, recomiendo una fecha del 30 de abril de 2025”.
CA Digicert respaldado La propuesta de Amazon para ampliar el plazo. Digicert continuó proponiendo que en lugar de utilizar registros de WHOIS, las CA utilicen el sucesor de WHOIS conocido como Protocolo de acceso a datos de registro.
Los cambios propuestos se encuentran formalmente en la fase de discusión de las deliberaciones. No está claro cuándo comenzará la votación formal sobre el cambio.
