CA 和浏览器开发商计划停止将 WHOIS 用于 TLS 域名验证。
CA/Browser Forum 允许 CA 向 WHOIS 记录中列出的电子邮件发送邮件,当接收者点击链接后其申请的证书将会自动获得批准。
安全公司 watchTowr 的研究人员演示了攻击者如何滥用该规则欺诈性的获取他们不拥有的域名证书。
这一安全漏洞是因为缺乏统一规则判断声称提供官方 WHOIS 记录的网站的有效性。
研究人员通过部署假的 WHOIS 服务器和假的 IP 记录实现了漏洞利用。
Google 因此提议停止将 WHOIS 用于域名验证。