Що таке TLS-сертифікати і чому вони важливі?
TLS-сертифікати (Transport Layer Security) — це криптографічні облікові дані, що забезпечують захист з’єднань через HTTPS. Вони підтверджують автентичність сервера і дозволяють шифрувати дані, що передаються між сервером і користувачем. Сертифікати видаються сертифікаційними центрами (Certification Authorities, CA), які відповідають за перевірку законного власника домену.
Як працює процес перевірки власника домену?
Процес видачі TLS-сертифікатів контролюється CA/Browser Forum, де встановлюються правила для сертифікаційних центрів. Одне з правил дозволяє CA надсилати електронний лист на адресу, вказану у записі WHOIS для домену. Якщо власник домену натискає на посилання в листі, сертифікат видається автоматично. Це швидкий і зручний метод, але як з’ясувалося, він має серйозні вразливості.
Хакерські атаки через WHOIS: реальна загроза безпеці
Дослідження від watchTowr
Фахівці з кібербезпеки компанії watchTowr продемонстрували, як зловмисники можуть використовувати вразливість у процесі перевірки домену через WHOIS. Вони змогли отримати шахрайські сертифікати для доменів, якими не володіли. Основна проблема полягає у відсутності єдиних правил щодо визнання достовірності сайтів, які надають WHOIS-записи.
Як вдалося обійти перевірку для доменів .mobi?
Зловмисники змогли створити підроблений сервер WHOIS для доменів .mobi. Це стало можливим через те, що попередній сервер WHOIS для цих доменів (dotmobiregistry.net) ще працював, хоча був перенесений на новий домен. Використовуючи підроблені записи на цьому сервері, хакери змогли обманути сертифікаційні центри та отримати сертифікати для доменів, якими вони не володіли.
Реакція індустрії: Google пропонує зміни
Пропозиція Google
У відповідь на виявлену вразливість, представник Google закликав CA/Browser Forum припинити використання WHOIS для перевірки права власності на домени. Це питання обговорюється з листопада і стає дедалі актуальнішим через ризики шахрайства.
Позиції інших гравців ринку
Хоча проблема в основному стосується лише доменів .mobi, представники великих компаній також підтримують зміни. Наприклад, Amazon вже почала відмовлятися від використання WHOIS у своєму AWS Certificate Manager. Проте вони вважають, що терміни впровадження нових правил повинні бути помірними. Amazon запропонувала дату 30 квітня 2025 року для повної відмови від WHOIS.
Альтернативи WHOIS: протокол RDAP
Як заміну WHOIS, експерти пропонують використовувати протокол Registration Data Access Protocol (RDAP). Він забезпечує кращу безпеку і прозорість, дозволяючи уникнути багатьох уразливостей, які характерні для застарілої системи WHOIS.
Висновки та очікувані зміни
Чому важливо відмовитися від WHOIS?
Використання WHOIS для перевірки права власності на домени становить серйозну загрозу безпеці в епоху розвитку кіберзлочинності. Зловмисники можуть легко обійти системи перевірки і отримати доступ до важливих даних, видаючи себе за власників доменів. Відмова від WHOIS стане важливим кроком для захисту інтернет-середовища.
Коли очікувати змін?
Хоча запропоновані зміни ще на стадії обговорення, представники Google та інших великих компаній наполягають на їх якнайшвидшому впровадженні. Очікується, що повний перехід на RDAP відбудеться до кінця 2025 року.
Які нові вимоги будуть до сертифікаційних центрів?
Сертифікаційні центри повинні будуть оновити свої процеси перевірки власників доменів, відмовившись від використання WHOIS. Це вимагатиме впровадження нових протоколів і методів підтвердження, щоб забезпечити надійний захист у майбутньому.