ゲッティイメージズ
脅威アクターがプロセスを悪用して不正に発行された TLS 証明書を取得する可能性があることを示したレポートを受けて、認証局とブラウザメーカーは、ドメインの所有権を確認する WHOIS データの使用を終了する予定です。
TLS 証明書は、HTTPS 接続の基盤となる暗号化認証情報です。これは、サーバーが信頼できるエンティティに属していることを確認し、サーバーとエンド ユーザーの間でやり取りされるすべてのトラフィックを暗号化する、オンライン通信の重要なコンポーネントです。これらの認証情報は、数百の CA (証明機関) のいずれかによってドメイン所有者に発行されます。証明書の発行方法のルールとドメインの正当な所有者を確認するプロセスは、CA/ブラウザー フォーラムに委ねられています。1 つの「基本要件ルール」では、CA が、申請中のドメインの WHOIS レコードに記載されているアドレスに電子メールを送信できます。受信者が添付のリンクをクリックすると、証明書は自動的に承認されます。
重要な依存関係
セキュリティ企業 watchTowr の研究者は最近、脅威アクターがこの規則を悪用して、所有していないドメインの証明書を不正に取得する方法を実証しました。このセキュリティ上の欠陥は、公式 WHOIS レコードを提供すると主張するサイトの有効性を判断するための統一された規則がなかったために発生しました。
具体的には、watchTowr の研究者は、所有していないドメインも含め、.mobi で終わるすべてのドメインの確認リンクを受け取ることができました。研究者は、偽の WHOIS サーバーを展開し、偽のレコードを入力することでこれを行いました。偽のサーバーの作成が可能になったのは、.mobi ドメインの WHOIS サーバーをホストしていた以前のドメインである dotmobiregistry.net が、サーバーが新しいドメインに移転された後に期限切れになったためです。watchTowr の研究者はドメインを登録し、偽の WHOIS サーバーを設定して、CA が引き続きそのサーバーを利用して .mobi ドメインの所有権を確認していることを発見しました。
この研究は、CA/ブラウザ フォーラム (CAB フォーラム) の目に留まりました。月曜日、Google を代表するメンバーは、「watchTowr Labs の調査で、脅威アクターが WHOIS を悪用して不正に発行された TLS 証明書を入手する方法が示された最近の出来事を考慮して」、ドメイン所有権の確認に WHOIS データに依存することをやめるよう提案しました。
正式な提案では、WHOIS データへの依存を 11 月初旬に「廃止」することを求めています。具体的には、「CA はドメイン連絡先を識別するために WHOIS に依存してはならない」こと、および「2024 年 11 月 1 日以降、この (電子メール検証) 方法を使用した検証では、ドメイン連絡先情報を識別するために WHOIS に依存してはならない」ことが規定されています。
月曜日の提出以来、50件を超えるフォローアップコメントが投稿されている。多くの回答は提案された変更を支持するものである。一方、watchTowrが発見したセキュリティ上の欠陥は単一のトップレベルドメインにしか影響しないことがわかっているため、提案された変更の必要性を疑問視する意見もある。
一方、アマゾンの代表者は、同社は以前、AWS 証明書マネージャが WHOIS レコードへの依存から完全に移行するように一方的な変更を実施したと指摘した。代表者は CAB フォーラムのメンバーに対し、Google が提案した 11 月 1 日の期限は厳しすぎる可能性があると語った。
「一部の顧客からは、これを削除するのは容易ではない依存関係であるというフィードバックがありました」とアマゾンの担当者は書いている。「企業が電子メール検証に加えて自動化を構築することは珍しくありません。私たちが得た情報に基づいて、2025年4月30日を推奨します。」
CA Digicert は、期限を延長するという Amazon の提案を支持しました。Digicert はさらに、CA が WHOIS レコードを使用する代わりに、登録データ アクセス プロトコルと呼ばれる WHOIS の後継を使用することを提案しました。
提案された変更は、正式には審議の議論段階にあります。変更に関する正式な投票がいつ開始されるかは不明です。