logo

Se elimina la validación de dominio basada en Whois

En agosto de 2024, investigadores de WatchTowr Labs descubrieron una vulnerabilidad relacionada con el uso de sistemas WHOIS para la validación de control de dominio (DCV),lo que podría conducir a validaciones fraudulentas basadas en correo electrónico para certificados SSL/TLS.


El 14 de diciembre, el CA/Browser Forum adoptó una eliminación gradual de los métodos basados en WHOIS para la validación de propiedad de dominios:


Fase uno: 15 de enero de 2025
A partir de esta fecha las CAs no podrán confiar en la información de contacto del dominio recopilada a través de métodos manuales o automatizados de búsqueda WHOIS. La eliminación afectará tres requisitos básicos de seguridad SSL/TLS: 3.2.2.4.2 ("Correo electrónico, fax, SMS o correo postal al contacto del dominio"), 3.2.2.4.12 ("Validación del solicitante como contacto del dominio") y 3.2.2.4.15 ("Contacto telefónico con el contacto del dominio").


Fase dos: 15 de julio de 2025
En esta instancia las CAs NO deberán confiar en ningún método de validación de dominio relacionado con WHOIS para emitir nuevos certificados o permitir la reutilización de autorizaciones previas (incluso durante un período de reutilización válido). En particular, esta fase afecta a los requisitos básicos SSL/TLS 3.2.2.4.2 y 3.2.2.4.15.




¿Qué significa todo esto para su organización?

Si no utiliza datos de WHOIS para la validación de control de dominio:


  • Si utilizó otro método, como registros DNS CNAME, validación de archivo de texto o correos electrónicos construidos (por ejemplo, admin@sudominio.com), estos cambios no lo afectarán.


En el caso de haber utilizado datos de WHOIS para la validación de control de dominio:


  • Deberá cambiar los métodos de validación al solicitar nuevos certificados SSL.
  • Las opciones más simples incluyen usar correos electrónicos basados en su propio dominio como por ejemplo:

    • admin@sudominio.com
    • webmaster@sudominio.com
    • hostmaster@sudominio.com
    • postmaster@sudominio.com


Otros métodos incluyen:



Click aquí para más información sobre métodos de validación de dominio