من كان —
بيانات WHOIS غير موثوقة. فلماذا يتم استخدامها في تطبيقات شهادة TLS؟
“url” هريف=”https://arstechnica.com/author/dan-goodin/” rel=”author”>”name”>دان جودين -“1726865605” التاريخ والوقت=”2024-09-20T20:53:25+00:00″>20 سبتمبر 2024 8:53 مساءً بتوقيت UTC
صور جيتي
تخطط سلطات الشهادات وصانعو المتصفحات لإنهاء استخدام”https://en.wikipedia.org/wiki/WHOIS”>من هو بيانات التحقق من ملكية النطاق بعد تقرير أظهر كيف يمكن للجهات الفاعلة المهددة إساءة استخدام العملية للحصول على شهادات TLS صادرة بشكل احتيالي.
شهادات TLS هي بيانات اعتماد تشفيرية تدعم اتصالات HTTPS، وهي مكون أساسي للاتصالات عبر الإنترنت للتحقق من أن الخادم ينتمي إلى كيان موثوق به وتشفير كل حركة المرور التي تمر بينه وبين المستخدم النهائي. يتم إصدار بيانات الاعتماد هذه بواسطة أي من مئات السلطات المصدقة (CA) لأصحاب النطاقات. تُترك قواعد كيفية إصدار الشهادات وعملية التحقق من المالك الشرعي للنطاق لـ”https://cabforum.org/”>منتدى CA/المتصفح. واحد “base requirement rule” يسمح لسلطات التصديق بإرسال بريد إلكتروني إلى عنوان مدرج في سجل WHOIS للنطاق الذي يتم التقدم بطلب للحصول عليه. عندما ينقر المستلم على رابط مرفق، تتم الموافقة على الشهادة تلقائيًا.
التبعيات غير التافهة
أظهر باحثون من شركة الأمن watchTowr مؤخرًا كيف يمكن للجهات الفاعلة المهددة إساءة استخدام القاعدة”https://arstechnica.com/security/2024/09/rogue-whois-server-gives-researcher-superpowers-no-one-should-ever-have/”>الحصول على شهادات صادرة بطريقة احتيالية بالنسبة للمجالات التي لا يملكونها. نتج الفشل الأمني عن عدم وجود قواعد موحدة لتحديد صحة المواقع التي تدعي تقديم سجلات WHOIS الرسمية.
على وجه التحديد، تمكن باحثو watchTowr من تلقي رابط التحقق لأي نطاق ينتهي بـ .mobi، بما في ذلك النطاقات التي لا يملكونها. وقد فعل الباحثون ذلك من خلال نشر خادم WHOIS مزيف وملئه بسجلات مزيفة. وكان إنشاء الخادم المزيف ممكنًا لأن dotmobiregistry.net – النطاق السابق الذي يستضيف خادم WHOIS لنطاقات .mobi – سُمح له بالانتهاء بعد نقل الخادم إلى نطاق جديد. سجل باحثو watchTowr النطاق، وأنشأوا خادم WHOIS المزيف، ووجدوا أن السلطات التصديقية استمرت في الاعتماد عليه للتحقق من ملكية نطاقات .mobi.
لم يفلت البحث من انتباه منتدى CA/Browser (منتدى CAB). في يوم الاثنين، ألقى أحد الأعضاء الذي يمثل Google”https://lists.cabforum.org/pipermail/servercert-wg/2024-September/004821.html”>مقترح إنهاء الاعتماد على بيانات WHOIS للتحقق من ملكية النطاق “في ضوء الأحداث الأخيرة حيث أظهر البحث من watchTowr Labs كيف يمكن للجهات الفاعلة في التهديد استغلال WHOIS للحصول على شهادات TLS صادرة بشكل احتيالي.”
ال”https://github.com/cabforum/servercert/pull/548/commits/684a085aa5fd6b3d5476d9d345b112d6865f0ebb”>اقتراح رسمي تدعو إلى الاعتماد على بيانات WHOIS حتى “ينتهي” في أوائل نوفمبر. وتنص على وجه التحديد على أن “السلطات التصديقية لا يجب أن تعتمد على WHOIS لتحديد جهات اتصال المجال” وأن “التحقق باستخدام هذا اعتبارًا من 1 نوفمبر 2024، [email verification] “لا يجب أن تعتمد الطريقة على WHOIS لتحديد معلومات جهة الاتصال بالمجال.”
منذ تقديم يوم الاثنين، تم نشر أكثر من 50 تعليقًا متابعة. وقد عبرت العديد من الردود عن دعمها للتغيير المقترح. كما أبدى آخرون دعمهم للتغيير المقترح.”https://lists.cabforum.org/pipermail/servercert-wg/2024-September/004829.html”>تساءل الحاجة إلى التغيير كما هو مقترح، نظرًا لأن فشل الأمان الذي كشفته watchTowr معروف بأنه يؤثر على نطاق واحد فقط من المستوى الأعلى.
وفي الوقت نفسه، قال ممثل أمازون:”https://lists.cabforum.org/pipermail/servercert-wg/2024-September/004828.html”>لاحظت أن الشركة نفذت سابقًا”https://aws.amazon.com/blogs/security/aws-certificate-manager-will-discontinue-whois-lookup-for-email-validated-certificates/”>التغيير الأحادي الجانب حيث سيتحول AWS Certificate Manager بشكل كامل بعيدًا عن الاعتماد على سجلات WHOIS. أخبر الممثل أعضاء منتدى CAB أن الموعد النهائي الذي اقترحته Google في الأول من نوفمبر قد يكون صارمًا للغاية.
“لقد تلقينا تعليقات من العملاء تفيد بأن هذا الأمر يمثل بالنسبة للبعض اعتماداً غير تافه يمكن إزالته”، هذا ما قاله ممثل أمازون”https://lists.cabforum.org/pipermail/servercert-wg/2024-September/004828.html”>كتب”ليس من غير المعتاد أن تقوم الشركات ببناء أتمتة فوق التحقق من صحة البريد الإلكتروني. بناءً على المعلومات التي حصلنا عليها، أوصي بتاريخ 30 أبريل 2025.”
CA ديجيسيرت”https://knowledge.digicert.com/alerts/end-of-life-for-whois-based-email-dcv-method”>مصدق عليه اقتراح أمازون بتمديد الموعد النهائي. واقترحت Digicert أنه بدلاً من استخدام سجلات WHOIS، تستخدم السلطات التصديقية بدلاً من ذلك خليفة WHOIS المعروف باسم”https://en.wikipedia.org/wiki/Registration_Data_Access_Protocol”>بروتوكول الوصول إلى بيانات التسجيل.
إن التغييرات المقترحة في مرحلة المناقشة رسميًا. ومن غير الواضح متى سيبدأ التصويت الرسمي على التغيير.