证书颁布组织和浏览器制造商方案不再运用WHOIS数据验证域名一切权，此前一份陈述数据显现，要挟行为者或许会乱用这一进程来获取欺诈性颁布的TLS证书。

  TLS证书是支撑HTTPS衔接的加密凭据，是在线通讯的重要组成部分，它验证服务器归于可信实体，并加密其与最终用户之间的一切通讯。这些凭据由数百个CA（证书颁布组织）之一颁布给域名一切者。证书的颁布规矩和验证域名合法一切者的进程由CA/浏览器论坛拟定。

  一项“根本需求规矩”答应CA向域名申请人的WHOIS记载中列出的地址发送电子邮件。当接纳者点击包含的链接时，证书会主动同意。

  非小事依托 安全公司watchTowr的研讨人员最近展现了要挟行为者怎么乱用这一规矩，为他们不具有的域名获取欺诈性颁布的证书。由于缺少一致规矩来确认宣称供给官方WHOIS记载站点的有效性，这种安全漏洞呈现了。

  具体来说，watchTowr的研讨人员能够为任何故.mobi结束的域名接纳验证链接，包含那些他们不具有的域名。

  研讨人员经过布置一个假WHOIS服务器并填充假记载完成了这一点。创立假服务器之所以成为或许，是由于—曾经保管.mobi域名WHOIS服务器的域名——在服务器迁移到新域名后被答应过期。

  watchTowr的研讨人员注册了该域名，设置了冒牌的WHOIS服务器，并发现CA持续依托它来验证.mobi域名的一切权。

  CA/浏览器论坛（CAB论坛）留意到了这项研讨。周一，代表谷歌的成员提议中止依托WHOIS数据来进行域名一切权验证，“鉴于watchTowr实验室的研讨显胁行为者能够怎么运用WHOIS获取欺诈性颁布的TLS证书。”正式提案呼吁在11月初“逐渐中止”依托WHOIS数据。

  它具体规定：“CA不得依托WHOIS来辨认域名联系人”，而且“自2024年11月1日起，运用此[电子邮件验证]办法的验证不得依托WHOIS来辨认域名联系人信息。”自周一提交以来，已有50多个跟进谈论发布。

  许多回应都表示支撑提议的改动。另一些人则质疑有必要进行如提议的改变，由于watchTowr所提醒的安全漏洞仅影响单一尖端域名。

  与此同时，一位亚马逊代表指出，该公司之前现已施行了一项单边改变，AWS证书管理器将彻底不再依托WHOIS记载。该代表告知CAB论坛成员，谷歌提议的11月1日截止日期或许过于严厉。“咱们从客户那里得到的反应是，对某些人来说，删去这一依托并非小事，”

  亚马逊代表写道。“公司在电子邮件验证之上树立主动化并不稀有。根据咱们取得的信息，我主张将日期推迟到2025年4月30日。”CA Digicert支撑亚马逊提议的延伸截止日期。Digicert进一步提议，替代运用WHOIS记载，CA应运用WHOIS的继任者，即注册数据拜访协议。提议的改变正式处于评论阶段。尚不清楚何时将开端对这一改变进行正式投票。

  特别声明：以上内容(如有图片或视频亦包含在内)为自媒体渠道“网易号”用户上传并发布，本渠道仅供给信息存储服务。

  REDMI K80 Pro 体会：又一台 6000 mAh 破百快充的旗舰，功能更强更专心

  油价大降380元/吨，跌落3次的92、95号汽油，12月4日再调整或变跌

  “工资表”被查了，罚款84万！12月起，这25个发工资的危险点，企业抓住自查了！

  Redmi K80系列发布：无孔化顶部规划+大满贯2K屏 2499元起售

  荣耀 MagicOS 9.0 第三批内测敞开推送，含 Magic V 等机型

  幼儿园结业第一天就去爬泰山，8岁小男孩452天登顶泰山18次，长大后想攀爬珠穆朗玛峰

  试管婴儿大乌龙：两对夫妻生下对方孩子！人生交流，两边决议合为一家...