皇上,还记得我吗?我就是1999年那个Linux伊甸园啊-----24小时滚动更新开源资讯,全年无休!

Google 呼吁停止将 WHOIS 用于 TLS 域名验证

 

Google 呼吁停止将 WHOIS 用于 TLS 域名验证
CA 和浏览器开发商计划停止将 WHOIS 用于 TLS 域名验证。CA/Browser Forum 允许 CA 向 WHOIS 记录中列出的电子邮件发送邮件,当接收者点击链接后其申请的证书将会自动获得批准。安全公司 watchTowr 的研究人员演示了攻击者如何滥用该规则欺诈性的获取他们不拥有的域名证书。这一安全漏洞是因为缺乏统一规则判断声称提供官方 WHOIS 记录的网站的有效性。研究人员通过部署假的 WHOIS 服务器和假的 IP 记录实现了漏洞利用。Google 因此提议停止将 WHOIS 用于域名验证。
https://arstechnica.com/security/2024/09/google-calls-for-halting-use-of-whois-for-tls-domain-verifications/