Getty Images Las autoridades de certificación y los fabricantes de navegadores están planeando terminar con el uso de datos WHOIS para verificar la propiedad del dominio luego de un informe que demostró cómo los actores de amenazas podrían abusar del proceso para obtener certificados TLS emitidos fraudulentamente. Los certificados TLS son las credenciales criptográficas que respaldan las conexiones HTTPS, un componente crítico de las comunicaciones en línea que verifica que un servidor pertenece a una entidad confiable y encripta todo el tráfico que pasa entre él y un usuario final. Estas credenciales son emitidas por cualquiera de los cientos de CA (autoridades de certificación) a los propietarios de dominios. Las reglas sobre cómo se emiten los certificados y el proceso para verificar al propietario legítimo de un dominio se dejan en manos del CA/Browser Forum. Una «regla de requisito básico» permite a las CA enviar un correo electrónico a una dirección que figura en el registro WHOIS para el dominio que se solicita. Cuando el receptor hace clic en un enlace adjunto, el certificado se aprueba automáticamente. Dependencias no triviales Los investigadores de la empresa de seguridad watchTowr demostraron recientemente cómo los actores de amenazas podrían abusar de la regla para obtener certificados emitidos fraudulentamente para dominios que no eran de su propiedad. El fallo de seguridad se debió a la falta de reglas uniformes para determinar la validez de los sitios que afirman proporcionar registros WHOIS oficiales. En concreto, los investigadores de watchTowr pudieron recibir un enlace de verificación para cualquier dominio que terminara en .mobi, incluidos los que no eran de su propiedad. Los investigadores lograron esto implementando un servidor WHOIS falso y llenándolo con registros falsos. La creación del servidor falso fue posible porque dotmobiregistry.net (el dominio anterior que alojaba el servidor WHOIS para los dominios .mobi) pudo expirar después de que el servidor se reubicara en un nuevo dominio. Los investigadores de watchTowr registraron el dominio, configuraron el servidor WHOIS falso y descubrieron que las CA seguían confiando en él para verificar la propiedad de los dominios .mobi. La investigación no pasó inadvertida para el CA/Browser Forum (CAB Forum). El lunes, un miembro que representa a Google propuso poner fin a la dependencia de los datos de WHOIS para la verificación de la propiedad de los dominios «a la luz de los eventos recientes en los que la investigación de watchTowr Labs demostró cómo los actores de amenazas podrían explotar WHOIS para obtener certificados TLS emitidos de manera fraudulenta». La propuesta formal exige que la dependencia de los datos de WHOIS «caduque» a principios de noviembre. Establece específicamente que «las CA NO DEBEN confiar en WHOIS para identificar contactos de dominio» y que «a partir del 1 de noviembre de 2024, las validaciones que utilicen este [email verification] El método NO DEBE depender de WHOIS para identificar la información de contacto del dominio”. Desde la presentación del lunes, se han publicado más de 50 comentarios de seguimiento. Muchas de las respuestas expresaron apoyo al cambio propuesto. Otros han cuestionado la necesidad de un cambio como el propuesto, dado que se sabe que la falla de seguridad que watchTowr descubrió afecta solo a un único dominio de nivel superior. Mientras tanto, un representante de Amazon señaló que la empresa implementó anteriormente un cambio unilateral en el que AWS Certificate Manager dejará de depender por completo de los registros WHOIS. El representante dijo a los miembros del foro de CAB que la fecha límite propuesta por Google del 1 de noviembre puede ser demasiado estricta. “Recibimos comentarios de los clientes de que para algunos esta es una dependencia no trivial de eliminar”, escribió el representante de Amazon. “No es raro que las empresas hayan creado una automatización sobre la validación de correo electrónico. Según la información que obtuvimos, recomiendo una fecha del 30 de abril de 2025”. CA Digicert respaldó la propuesta de Amazon de extender la fecha límite. Digicert propuso que, en lugar de utilizar registros WHOIS, las CA utilicen el sucesor de WHOIS, conocido como Protocolo de acceso a datos de registro. Los cambios propuestos se encuentran formalmente en la fase de debate de las deliberaciones. No está claro cuándo comenzará la votación formal sobre el cambio.