
CA/瀏覽器論壇部署新安全要求 多方發(fā)行驗證/憑證檢查和即將棄用WHOIS驗證
負(fù)責(zé)制定數(shù)字證書簽發(fā)和驗證的行業(yè)機(jī)構(gòu) CA / 瀏覽器論壇在 2024 年 9 月討論過 WHOIS 驗證申請證書并認(rèn)為這種方式已經(jīng)過時,因此當(dāng)時該機(jī)構(gòu)就提出要直接棄用這種驗證方式。
CA / 瀏覽器論壇是由證書頒發(fā)機(jī)構(gòu) (CA)、操作系統(tǒng)開發(fā)商、軟件開發(fā)商、瀏覽器開發(fā)商、安全郵件軟件開發(fā)商等組成的行業(yè)聯(lián)盟,主要負(fù)責(zé)制定 TLS/SSL 數(shù)字證書的簽發(fā)、驗證和安全政策。
在 2025 年 3 月實施的變化中,CA / 瀏覽器論壇進(jìn)行多項變更并且也確實按計劃棄用 WHOIS 驗證方式從而提高隱私性,WHOIS 是域名注冊信息默認(rèn)是公開的,但基于隱私考慮多數(shù)域名都會隱藏真實的 WHOIS 信息。
WHOIS 驗證主要靠域名管理員郵箱,隱藏真實信息后實際上無法通過郵箱驗證,另外此前還出現(xiàn)過 WHOIS 忘記續(xù)費某個 Mobi 域名導(dǎo)致被研究人員注冊,該網(wǎng)站收到包括 CA 在內(nèi)的巨量網(wǎng)站發(fā)送的請求,研究人員實際上可以借助該域名欺騙 CA 從而獲得數(shù)字證書。
根據(jù)當(dāng)前計劃 WHOIS 驗證會在 7 月 15 日生效,屆時基于 WHOIS 的電子郵件、電話、傳真或?qū)嶓w郵件等驗證方式會被徹底棄用,對大多數(shù)網(wǎng)站來說這基本不會產(chǎn)生影響。
除了棄用 WHOIS 驗證外,這次實施的策略中還包括多方發(fā)行驗證 MPIC 以及憑證檢查 Linting,這兩項要求都是用于增強(qiáng)安全驗證,避免攻擊者通過潛在的弱點申請?zhí)囟ㄓ蛎淖C書。
原本證書申請者通過在網(wǎng)域中添加隨機(jī)值用于檢查,如果檢查通過則 CA 默認(rèn)申請者確實擁有該網(wǎng)站的控制權(quán)因此也可以簽發(fā)證書,但 CA 是通過單一路由檢查這個隨機(jī)值是否添加的。
此前曾發(fā)生過黑客通過 BGP 劫持方式用來劫持特定流量,從而欺騙 CA 成功獲得數(shù)字證書,現(xiàn)在 MPIC 機(jī)制則會從多個不同的地理位置或網(wǎng)絡(luò)服務(wù)提供商進(jìn)行相同的驗證,這樣可以減低類似的 BGP 劫持攻擊。
憑證檢查 Linting 是個自動化流程用于分析憑證以及防止錯誤、不一致和不合標(biāo)準(zhǔn)的情況,以前 CA 可選憑證檢查,從 3 月 15 日開始憑證檢查變成強(qiáng)制性措施,這可以降低潛在的錯誤。
[超站]友情鏈接:
四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全,洞悉企業(yè)級服務(wù)市場:https://www.ijiandao.com/

隨時掌握互聯(lián)網(wǎng)精彩
- 1 看總書記關(guān)心的清潔能源這樣發(fā)電 7904831
- 2 今年最強(qiáng)臺風(fēng)來襲 7808494
- 3 澳加英宣布承認(rèn)巴勒斯坦國 7713576
- 4 長春航空展這些“首次”不要錯過 7618758
- 5 43歲二胎媽媽患阿爾茨海默病 7522718
- 6 iPhone 17橙色斜挎掛繩賣斷貨 7427015
- 7 警方通報于朦朧墜亡 3人造謠被查處 7328249
- 8 女兒發(fā)現(xiàn)父親500多萬遺產(chǎn)用于保健 7235318
- 9 劉強(qiáng)東“10年1元年薪”之約到期 7140124
- 10 三所“零近視”小學(xué)帶來的啟示 7040827