【公告】12月1日起,上海CA将停用基于WHOIS的域验证方法

【公告】12月1日起,上海CA将停用基于WHOIS的域验证方法
发布时间:November 29, 2024
尊敬的用户:
自2024年12月1日起,上海CA将停用基于WHOIS的域验证方法来申请SSL证书。此前通过WHOIS登记邮箱验证的域名审核资料,无论是否在验证有效期内,都将被视为无效。对于新申请或重颁发SSL证书,申请人必须采用其他有效的方式完成域名验证。
若您有任何相关疑问,也可以随时联系为您提供证书服务的工作人员进行咨询,我们将竭诚为您服务。
上海市数字证书认证中心有限公司
2024年11月28日
事件起因
近期,watchTowr Labs的安全研究人员在博客中提出,购买.mobi顶级域名(TLD)的前WHOIS服务器域名可能允许向攻击者颁发无数欺诈性的TLS/SSL证书。
(博客原文:https://labs.watchtowr.com/we-spent-20-to-achieve-rce-and-accidentally-became-the-admins-of-mobi/)
行业动态
由于安全研究人员发现过时的WHOIS服务器域名存在严重安全漏洞,这一发现促使Google 在CA/B论坛内部发起投票,考虑弃用基于WHOIS登记邮箱的域名控制验证(DCV)方法,以提高互联网的整体安全性。GlobalSign、Mozilla、OISTE等机构表示支持此提议。
目前“停止使用 WHOIS 识别域联系人并依赖 DCV 方法”的投票已顺利通过并进入30天审核期。
(CA/B论坛链接:https://cabforum.org/2024/11/14/ballot-sc-80v3-sunset-the-use-of-whois-to-identify-domain-contacts-and-relying-dcv-methods/)
应对措施与建议
为了避免在12 月 1 日之后可能出现的SSL证书验证问题,我们建议客户尽快将域名验证方式从WHOIS登记邮箱改为其他不依赖WHOIS记录的方法。客户仍然可以使用另外两种电子邮件域名控制验证方法, Constructed Email(5个结构化Whois邮箱和MX记录) 和Email to DNS TXT 联系方式。当然,DNS TXT等其他DCV方式仍可以继续使用,也更为常用。
此外,为了简化域名验证流程,增强其自动化,域名所有者应考虑实施自动化工具,定期检查其DNS配置和CAA记录,确保始终反映最新的安全需求。结合API接口与CA系统集成,可以实现证书申请和管理的自动化,降低人为错误和操作成本。
值得强调的是,CA必须在证书透明度(CT)日志中发布其颁发的证书。域名所有者可以监控这些日志,以自动发现是否有任何未经授权的证书颁发给他们的域名。
供稿:万维信事业部
参考来源:公钥密码开放社区,CA/Browser Forum社区等
投稿邮箱:zhangjiamin@sheca.com