Gambar Getty
Otoritas sertifikat dan pembuat peramban berencana untuk mengakhiri penggunaan data WHOIS yang memverifikasi kepemilikan domain menyusul laporan yang menunjukkan bagaimana pelaku ancaman dapat menyalahgunakan proses untuk memperoleh sertifikat TLS yang dikeluarkan secara curang.
Sertifikat TLS adalah kredensial kriptografi yang mendukung koneksi HTTPS, komponen penting komunikasi daring yang memverifikasi bahwa server milik entitas tepercaya dan mengenkripsi semua lalu lintas yang melewatinya dan pengguna akhir. Kredensial ini dikeluarkan oleh salah satu dari ratusan CA (otoritas sertifikat) kepada pemilik domain. Aturan tentang cara penerbitan sertifikat dan proses untuk memverifikasi pemilik sah domain diserahkan kepada CA/Browser Forum. Satu “aturan persyaratan dasar” memungkinkan CA untuk mengirim email ke alamat yang tercantum dalam catatan WHOIS untuk domain yang diajukan. Ketika penerima mengklik tautan terlampir, sertifikat tersebut secara otomatis disetujui.
Ketergantungan yang tidak sepele
Peneliti dari firma keamanan watchTowr baru-baru ini menunjukkan bagaimana pelaku kejahatan siber dapat menyalahgunakan aturan tersebut untuk mendapatkan sertifikat yang diterbitkan secara curang untuk domain yang tidak mereka miliki. Kegagalan keamanan tersebut disebabkan oleh kurangnya aturan yang seragam untuk menentukan validitas situs yang mengklaim menyediakan catatan WHOIS resmi.
Secara khusus, para peneliti watchTowr dapat menerima tautan verifikasi untuk domain apa pun yang diakhiri dengan .mobi, termasuk yang bukan milik mereka. Para peneliti melakukannya dengan menyebarkan server WHOIS palsu dan mengisinya dengan catatan palsu. Pembuatan server palsu tersebut dimungkinkan karena dotmobiregistry.net—domain sebelumnya yang menjadi host server WHOIS untuk domain .mobi—dibiarkan kedaluwarsa setelah server dipindahkan ke domain baru. Para peneliti watchTowr mendaftarkan domain tersebut, menyiapkan server WHOIS palsu, dan menemukan bahwa CA terus mengandalkannya untuk memverifikasi kepemilikan domain .mobi.
Penelitian ini tidak luput dari perhatian CA/Browser Forum (CAB Forum). Pada hari Senin, seorang anggota yang mewakili Google mengusulkan untuk mengakhiri ketergantungan pada data WHOIS untuk verifikasi kepemilikan domain “mengingat kejadian terkini di mana penelitian dari watchTowr Labs menunjukkan bagaimana pelaku ancaman dapat mengeksploitasi WHOIS untuk memperoleh sertifikat TLS yang diterbitkan secara curang.”
Proposal formal tersebut menyerukan agar data WHOIS “dihentikan” pada awal November. Proposal tersebut secara khusus menetapkan bahwa “CA TIDAK BOLEH bergantung pada WHOIS untuk mengidentifikasi Kontak Domain” dan bahwa “Efektif 1 November 2024, validasi menggunakan data ini [email verification] metode TIDAK HARUS bergantung pada WHOIS untuk mengidentifikasi informasi Kontak Domain.”
Sejak pengajuan pada hari Senin, lebih dari 50 komentar tindak lanjut telah diunggah. Banyak tanggapan yang menyatakan dukungan terhadap perubahan yang diusulkan. Yang lain mempertanyakan perlunya perubahan seperti yang diusulkan, mengingat kegagalan keamanan yang ditemukan watchTowr diketahui hanya memengaruhi satu domain tingkat atas.
Sementara itu, seorang perwakilan Amazon mencatat bahwa perusahaan tersebut sebelumnya menerapkan perubahan sepihak di mana AWS Certificate Manager akan sepenuhnya beralih dari ketergantungan pada catatan WHOIS. Perwakilan tersebut memberi tahu anggota CAB Forum bahwa tenggat waktu yang diusulkan Google pada tanggal 1 November mungkin terlalu ketat.
“Kami mendapat masukan dari pelanggan bahwa bagi sebagian orang, ini merupakan ketergantungan yang sulit dihilangkan,” tulis perwakilan Amazon. “Bukan hal yang aneh bagi perusahaan untuk membangun otomatisasi di atas validasi email. Berdasarkan informasi yang kami dapatkan, saya merekomendasikan tanggal 30 April 2025.”
CA Digicert mendukung usulan Amazon untuk memperpanjang batas waktu. Digicert kemudian mengusulkan agar CA menggunakan pengganti WHOIS yang dikenal sebagai Registration Data Access Protocol, alih-alih menggunakan catatan WHOIS.
Perubahan yang diusulkan secara resmi berada dalam tahap pembahasan. Belum jelas kapan pemungutan suara resmi mengenai perubahan tersebut akan dimulai.
