Uso di WHOIS per verifiche di domini TLS
Le autorità di certificazione e i produttori di browser stanno progettando di terminare l’uso dei dati WHOIS per verificare la proprietà dei domini, a seguito di un rapporto che ha dimostrato come i criminali informatici possano abusare del processo per ottenere certificati TLS emessi fraudolentemente. I certificati TLS sono le credenziali crittografiche che sostengono le connessioni HTTPS, un componente critico delle comunicazioni online che verifica che un server appartenga a un’entità fidata e cripta tutto il traffico che passa tra il server e un utente finale. Queste credenziali vengono emesse da una delle centinaia di autorità di certificazione (CA) ai proprietari dei domini.
Le regole per l’emissione dei certificati e il processo per verificare il legittimo proprietario di un dominio sono lasciati all’istruzione del CA/Browser Forum. Una delle “regole di requisito base” consente alle CA di inviare un’email a un indirizzo elencato nel record WHOIS per il dominio in fase di richiesta. Quando il destinatario fa clic su un link incluso, il certificato viene automaticamente approvato.
Recentemente, i ricercatori della società di sicurezza watchTowr hanno dimostrato come i criminali informatici possano sfruttare questa regola per ottenere certificati fraudolenti per domini non di loro proprietà. Questo fallimento di sicurezza è risultato da una mancanza di regole uniformi per determinare la validità dei siti che affermano di fornire record WHOIS ufficiali. In particolare, i ricercatori di watchTowr sono stati in grado di ricevere un link di verifica per qualsiasi dominio terminante in .mobi, inclusi quelli che non possedevano. Ciò è stato possibile creando un server WHOIS falso e popolandolo con record falsi.
Ragioni della proposta di Google
La proposta avanzata da Google per interrompere l’uso dei dati WHOIS per la verifica della proprietà dei domini nasce dalla crescente preoccupazione riguardo alla sicurezza online e alle vulnerabilità emerse dalle recenti ricerche. In particolare, Google ha evidenziato come la dipendenza da dati WHOIS possa creare opportunità per attacchi informatici, come dimostrato dallo studio condotto da watchTowr Labs. In tale studio, i ricercatori sono riusciti a ottenere certificati TLS fraudolenti sfruttando lacune nel sistema di verifica attualmente in uso, mettendo in evidenza la facilità con cui i criminali possano abusare di questo metodo.
La formalizzazione della proposta di Google include l’indicazione che le autorità di certificazione (CA) non debbano più basarsi su dati WHOIS per identificare i contatti dei domini. Questo segna un cambiamento significativo nelle pratiche di verifica, in quanto Google ha sottolineato la necessità di adottare procedure più sicure e robuste, in grado di contrastare le tecniche sempre più sofisticate dei cybercriminali.
Il cambiamento proposto prevede che la dipendenza da WHOIS termini ufficialmente il 1° novembre 2024, stabilendo così un chiaro termine per le CA per adeguarsi alle nuove modalità di verifica. La proposta specifica anche che, passato tale termine, le CA non dovranno più utilizzare il metodo di verifica via email, attualmente basato su WHOIS, per convalidare la proprietà dei domini.
Questa iniziativa si inserisce in un contesto in cui la sicurezza informatica è diventata una priorità per le grandi aziende e i fornitori di servizi online, e rappresenta un passo significativo verso una maggiore protezione degli utenti e della loro privacy nel mondo digitale.
Ricerche sulle vulnerabilità
I ricercatori di watchTowr hanno messo in evidenza le gravi vulnerabilità connesse all’uso dei dati WHOIS per la verifica della proprietà dei domini. In particolare, hanno dimostrato come i criminali informatici possano sfruttare questi dati per ottenere certificati TLS emessi fraudolentemente, sfruttando il sistema di verifica esistente. La loro ricerca ha identificato una mancanza di uniformità nelle regole riguardanti la validità dei servizi WHOIS, il che ha portato a situazioni in cui i cybercriminali potevano facilmente impersonare un legittimo proprietario di dominio.
Con la creazione di un server WHOIS falso, i ricercatori sono riusciti a generare record inventati per domini che non possedevano, dimostrando la vulnerabilità del sistema. Questo ha incluso l’ottenimento di link di verifica per semplici domini .mobi, il che solleva interrogativi sulla sicurezza dell’intero meccanismo di verifica delle CA. Ancora più preoccupante è il fatto che le autorità di certificazione continuassero a fare affidamento su questo server non ufficiale, mettendo in luce l’inefficienza nella verifica delle informazioni di registrazione.
Questo approccio ha messo in discussione la fiducia che le aziende e gli utenti ripongono nei processi di verifica dell’identità di dominio. La reazione alla ricerca di watchTowr ha spinto diversi membri del CA/Browser Forum a considerare seriamente la proposta di Google, che mira a eliminare l’affidamento ai dati WHOIS a favore di metodi di verifica più sicuri. Le implicazioni di tali vulnerabilità non riguardano solo la sicurezza delle singole aziende, ma rappresentano un rischio per la sicurezza dell’intero ecosistema web.
Risposte e preoccupazioni della comunità
La proposta di Google di cessare l’uso dei dati WHOIS per la verifica della proprietà dei domini ha suscitato una varietà di risposte all’interno della comunità delle tecnologie e della sicurezza informatica. Molti membri del CA/Browser Forum hanno espresso il loro supporto per la misura proposta, riconoscendo la necessità di un approccio più sicuro alla verifica della proprietà delle risorse internet.
Le osservazioni emesse sulla proposta hanno superato le cinquanta, con varie entità che hanno dettagliato le loro opinioni e preoccupazioni. Alcuni membri hanno sottolineato che il cambiamento è fondamentale per migliorare la sicurezza online e prevenire gli abusi dimostrati dalla ricerca di watchTowr. Tuttavia, ci sono anche voci dissententi che mettono in discussione l’urgenza del cambiamento, citando il fatto che la vulnerabilità identificata riguardava un solo dominio di primo livello, quello con estensione .mobi.
Un rappresentante di Amazon ha offerto un’importante osservazione, suggerendo che la scadenza proposta di Google per il 1° novembre 2024 potrebbe essere troppo rigorosa. La sua azienda, infatti, aveva già implementato un cambiamento autonomo nel quale il loro AWS Certificate Manager ha completamente abbandonato il ricorso ai record WHOIS. Questo suggerisce che per molte organizzazioni, rimuovere la dipendenza da WHOIS potrebbe non essere semplice e richiederà tempo e pianificazione.
D’altra parte, il sostegno al rinvio ha trovato un alleato in Digicert, che ha proposto di estendere la deadline per la transizione. La proposta suggerisce di considerare l’impiego del Registration Data Access Protocol (RDAP), un protocollo successore destinato a migliorare la gestione e l’accessibilità dei dati di registrazione dei domini, come alternativa ai tradizionali record WHOIS.
La varietà di opinioni e le preoccupazioni espresse non solo evidenziano la complessità della questione, ma pongono anche interrogativi sull’equilibrio necessario tra sicurezza e praticità operativa. La comunità è chiamata a riflettere sui prossimi passi che porteranno alla formalizzazione di questo importante cambiamento nelle pratiche di verifica della proprietà dei domini.
Prossimi passi nel processo di revisione
Attualmente, la proposta avanzata da Google per terminare l’affidamento ai dati WHOIS per la verifica della proprietà dei domini è in fase di discussione all’interno del CA/Browser Forum. Questo processo di revisione è cruciale per garantire che le modifiche siano approfonditamente esaminate e che tutte le parti interessate possano esprimere le proprie preoccupazioni e suggerimenti.
In questa fase iniziale, è essenziale raccogliere un’ampia gamma di feedback da parte dei membri del forum, inclusi rappresentanti di diverse autorità di certificazione, membri dell’industria tecnologica e esperti di sicurezza informatica. Il forum ha già ricevuto oltre cinquant’anni di commenti sulle proposte, dimostrando l’interesse e la preoccupazione dell’ecosistema digitale riguardo a questa questione critica.
Il processo di revisione implica anche stabilire un calendario per la formalizzazione della proposta e una possibile votazione sulle modifiche suggerite. Sebbene non ci siano ancora date definite per la votazione, il coinvolgimento attivo da parte dei membri del forum sarà determinante per accelerare il processo. Le osservazioni e le proposte emerse, incluse quelle di Amazon e Digicert, finiranno per influenzare l’esito finale e l’implementazione delle nuove regole di verifica.
Inoltre, sarà determinante decidere in che misura le autorità di certificazione dovrebbero adattarsi a queste nuove linee guida e quali alternative ai dati WHOIS potrebbero essere implementate. L’opzione del Registration Data Access Protocol (RDAP) proposta da Digicert rappresenta una possibilità promettente, che potrebbe migliorare la sicurezza e l’affidabilità del processo di verifica. La popolazione del protocollo e l’adozione di standard più rigorosi saranno elementi chiave da considerare nelle prossime discussioni.
Il continuo dialogo e la collaborazione tra i membri del CA/Browser Forum saranno fondamentali per garantire che questo cambiamento non solo affronti le vulnerabilità attuali, ma stabilisca anche un nuovo standard per la sicurezza nella gestione e verifica della proprietà dei domini in futuro.
