En agosto de 2024, investigadores de WatchTowr Labs descubrieron una vulnerabilidad relacionada con el uso de sistemas WHOIS para la validación de control de dominio (DCV),lo que podría conducir a validaciones fraudulentas basadas en correo electrónico para certificados SSL/TLS.
El 14 de diciembre, el CA/Browser Forum adoptó una eliminación gradual de los métodos basados en WHOIS para la validación de propiedad de dominios:
Fase uno: 15 de enero de 2025
A partir de esta fecha las CAs no podrán confiar en la información de contacto del dominio recopilada a través de métodos
manuales o automatizados de búsqueda WHOIS.
La eliminación afectará tres requisitos básicos de seguridad SSL/TLS: 3.2.2.4.2
("Correo electrónico, fax, SMS o correo postal al contacto del dominio"), 3.2.2.4.12 ("Validación del solicitante como
contacto del dominio") y 3.2.2.4.15 ("Contacto telefónico con el contacto del dominio").
Fase dos: 15 de julio de 2025
En esta instancia las CAs NO deberán confiar en ningún método de validación de dominio relacionado con WHOIS para emitir
nuevos certificados o permitir la reutilización de autorizaciones previas (incluso durante un período de
reutilización válido). En particular, esta fase afecta a los requisitos básicos SSL/TLS 3.2.2.4.2 y 3.2.2.4.15.
¿Qué significa todo esto para su organización?
Si no utiliza datos de WHOIS para la validación de control de dominio:
En el caso de haber utilizado datos de WHOIS para la validación de control de dominio:
Otros métodos incluyen:
Click aquí para más información sobre métodos de validación de dominio