.mobi TLDにおいて、WHOISを利用して不正サーバ証明書発行を行う攻撃手法が明らかになり、話題となっている。
この実験者は、実際に 所有してない *.mobi ドメインの証明書発行が出来そうな事を確認している(不正発行の直前で実験を停止)。
簡単に流れを眺めたので、メモとして記録しておく。
詳細
詳細の記事はこちら
labs.watchtowr.com
箇条書きで流れを書くと
- 前提
- .mobi TLD の whoisをホストしていたドメインが "whois.dotmobiregistry.net" から "whois.nic.mobi" に移設した
- "dotmobiregistry.net" を第三者が取得できる状態にあったため取得し、どのような通信が来てるか確認した
- 大手CAからの通信があり、CAのドメイン所有検証にWHOISのConntactが使える事が判明する
- 証明書発行手順
(参照記事からの引用)
ここまでで実験を中止。実際に不正発行までは行わなかったとのこと。
この実験により、所有してない*.mobiドメインの証明書を取得できるであろうことが示された。
CA/B側での議論
証明書発行に関する要件を定義する、CA/Browser ForumのBaseline Requirementsに変更を加える議論が出ている。
ドメイン検証にWHOISの情報を使わないようにする提案である。
github.com
github.com
ちょっと今後の動向も追っていきたい
