Getty Images
Les autorités de certification et les fabricants de navigateurs prévoient de mettre fin à l’utilisation des données WHOIS vérifiant la propriété du domaine à la suite d’un rapport démontrant comment les acteurs malveillants pourraient abuser du processus pour obtenir des certificats TLS émis frauduleusement.
Les certificats TLS sont les informations d’identification cryptographiques qui sous-tendent les connexions HTTPS, un élément essentiel des communications en ligne qui vérifie qu’un serveur appartient à une entité de confiance et crypte tout le trafic transitant entre lui et un utilisateur final. Ces informations d’identification sont délivrées par l’une des centaines d’autorités de certification (AC) aux propriétaires de domaines. Les règles de délivrance des certificats et le processus de vérification du propriétaire légitime d’un domaine sont laissés au CA/Browser Forum. Une « règle d’exigence de base » permet aux AC d’envoyer un e-mail à une adresse répertoriée dans l’enregistrement WHOIS du domaine faisant l’objet de la demande. Lorsque le destinataire clique sur un lien inclus, le certificat est automatiquement approuvé.
Dépendances non triviales
Des chercheurs de l’entreprise de sécurité watchTowr ont récemment démontré comment des acteurs malveillants pouvaient abuser de cette règle pour obtenir des certificats émis frauduleusement pour des domaines dont ils n’étaient pas propriétaires. Cette faille de sécurité résultait d’un manque de règles uniformes pour déterminer la validité des sites prétendant fournir des enregistrements WHOIS officiels.
Plus précisément, les chercheurs de watchTowr ont pu recevoir un lien de vérification pour tout domaine se terminant par .mobi, y compris ceux dont ils n’étaient pas propriétaires. Ils y sont parvenus en déployant un faux serveur WHOIS et en le remplissant de faux enregistrements. La création du faux serveur a été possible parce que dotmobiregistry.net, le domaine précédent hébergeant le serveur WHOIS pour les domaines .mobi, a été autorisé à expirer après le déplacement du serveur vers un nouveau domaine. Les chercheurs de watchTowr ont enregistré le domaine, mis en place le faux serveur WHOIS et ont découvert que les autorités de certification continuaient à s’appuyer sur lui pour vérifier la propriété des domaines .mobi.
Cette étude n’a pas échappé à l’attention du CA/Browser Forum (CAB Forum). Lundi, un membre représentant Google a proposé de mettre fin à la dépendance aux données WHOIS pour la vérification de la propriété des domaines « à la lumière des événements récents où les recherches de watchTowr Labs ont démontré comment les acteurs malveillants pouvaient exploiter le WHOIS pour obtenir des certificats TLS émis frauduleusement ».
La proposition officielle prévoit que le recours aux données WHOIS prendra fin début novembre. Elle établit spécifiquement que « les autorités de certification NE DOIVENT PAS s’appuyer sur WHOIS pour identifier les contacts de domaine » et que « à compter du 1er novembre 2024, les validations utilisant ce [email verification] « La méthode NE DOIT PAS s’appuyer sur WHOIS pour identifier les informations de contact du domaine. »
Depuis la soumission de lundi, plus de 50 commentaires de suivi ont été publiés. De nombreuses réponses ont exprimé leur soutien au changement proposé. D’autres ont remis en question la nécessité d’un changement tel que proposé, étant donné que la faille de sécurité découverte par watchTowr n’affecte qu’un seul domaine de premier niveau.
Un représentant d’Amazon a quant à lui fait remarquer que la société avait déjà mis en œuvre un changement unilatéral dans lequel le gestionnaire de certificats AWS ne dépendrait plus des enregistrements WHOIS. Le représentant a déclaré aux membres du forum CAB que la date limite du 1er novembre proposée par Google pourrait être trop stricte.
« Nous avons reçu des commentaires de clients qui, pour certains, estiment qu’il s’agit d’une dépendance non négligeable à supprimer », a écrit le représentant d’Amazon. « Il n’est pas rare que les entreprises aient intégré l’automatisation à la validation des e-mails. Sur la base des informations que nous avons obtenues, je recommande la date du 30 avril 2025. »
L’autorité de certification Digicert a approuvé la proposition d’Amazon de prolonger le délai. Digicert a ensuite proposé qu’au lieu d’utiliser les enregistrements WHOIS, les autorités de certification utilisent plutôt le successeur de WHOIS connu sous le nom de Registration Data Access Protocol.
Les changements proposés sont officiellement en phase de discussion. On ne sait pas encore quand le vote formel sur ces changements débutera.