負(fù)責(zé)制定數(shù)字證書簽發(fā)和驗證的行業(yè)機(jī)構(gòu) CA / 瀏覽器論壇在 2024 年 9 月討論過 WHOIS 驗證申請證書并認(rèn)為這種方式已經(jīng)過時，因此當(dāng)時該機(jī)構(gòu)就提出要直接棄用這種驗證方式。

CA / 瀏覽器論壇是由證書頒發(fā)機(jī)構(gòu) (CA)、操作系統(tǒng)開發(fā)商、軟件開發(fā)商、瀏覽器開發(fā)商、安全郵件軟件開發(fā)商等組成的行業(yè)聯(lián)盟，主要負(fù)責(zé)制定 TLS/SSL 數(shù)字證書的簽發(fā)、驗證和安全政策。

在 2025 年 3 月實施的變化中，CA / 瀏覽器論壇進(jìn)行多項變更并且也確實按計劃棄用 WHOIS 驗證方式從而提高隱私性，WHOIS 是域名注冊信息默認(rèn)是公開的，但基于隱私考慮多數(shù)域名都會隱藏真實的 WHOIS 信息。

WHOIS 驗證主要靠域名管理員郵箱，隱藏真實信息后實際上無法通過郵箱驗證，另外此前還出現(xiàn)過 WHOIS 忘記續(xù)費某個 Mobi 域名導(dǎo)致被研究人員注冊，該網(wǎng)站收到包括 CA 在內(nèi)的巨量網(wǎng)站發(fā)送的請求，研究人員實際上可以借助該域名欺騙 CA 從而獲得數(shù)字證書。

根據(jù)當(dāng)前計劃 WHOIS 驗證會在 7 月 15 日生效，屆時基于 WHOIS 的電子郵件、電話、傳真或?qū)嶓w郵件等驗證方式會被徹底棄用，對大多數(shù)網(wǎng)站來說這基本不會產(chǎn)生影響。

除了棄用 WHOIS 驗證外，這次實施的策略中還包括多方發(fā)行驗證 MPIC 以及憑證檢查 Linting，這兩項要求都是用于增強(qiáng)安全驗證，避免攻擊者通過潛在的弱點申請?zhí)囟ㄓ蛎淖C書。

原本證書申請者通過在網(wǎng)域中添加隨機(jī)值用于檢查，如果檢查通過則 CA 默認(rèn)申請者確實擁有該網(wǎng)站的控制權(quán)因此也可以簽發(fā)證書，但 CA 是通過單一路由檢查這個隨機(jī)值是否添加的。

此前曾發(fā)生過黑客通過 BGP 劫持方式用來劫持特定流量，從而欺騙 CA 成功獲得數(shù)字證書，現(xiàn)在 MPIC 機(jī)制則會從多個不同的地理位置或網(wǎng)絡(luò)服務(wù)提供商進(jìn)行相同的驗證，這樣可以減低類似的 BGP 劫持攻擊。

憑證檢查 Linting 是個自動化流程用于分析憑證以及防止錯誤、不一致和不合標(biāo)準(zhǔn)的情況，以前 CA 可選憑證檢查，從 3 月 15 日開始憑證檢查變成強(qiáng)制性措施，這可以降低潛在的錯誤。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/