Upgrade to Pro — share decks privately, control downloads, hide ads and more …

風が吹けばWHOISが使えなくなる~なぜWHOIS・RDAPはサーバー証明書のメール認証に使え...

 風が吹けばWHOISが使えなくなる~なぜWHOIS・RDAPはサーバー証明書のメール認証に使えなくなったのか~

2025年8月1日に開催された、JANOG56 Meeting 野良LT BoFの発表資料です。

More Decks by Yasuhiro Orange Morishita / 森下泰宏

Other Decks in Technology

Transcript

  1. 本日の内容 • 2025年7月15日から、サーバー証明書の発行におけるドメイン名管理権限 確認(DCV)の参照先として、WHOIS・RDAPのコンタクト情報を使うこと ができなくなりました*1。 – できなくなった方法:認証局が発行要求を受け取ったドメイン名のWHOIS・RDAPを 参照して、そのコンタクト情報の電子メールアドレスにランダムな内容が書かれている メッセージを送り、メッセージを受け取った申請者が認証局にその内容を伝える •

    そのきっかけは、2024年9月にドメイン名業界で発生した、とある事件でした。 • 今回はこの事件から使用禁止までの経緯について、コンパクトに話します。 Copyright © 2025 Yasuhiro Orange Morishita 3 *1 Ballot SC080v3: Sunset the use of WHOIS to identify Domain Contacts and relying DCV Methods <https://cabforum.org/2024/11/14/ballot-sc080v3-sunset-the-use-of-whois-to-identify-domain-contacts-and-relying-dcv-methods/>
  2. 第1幕:.mobiのシステム改修 • 2022年に.mobiのレジストリがシステムを改修し、サービス用のドメイン名を dotmobiregistry.netから、nic.mobiに変更しました。 – .mobiのレジストリはICANNとの契約通り、IANAの登録情報を更新していました。 • しかし、同社は変更前のドメイン名を維持せず、 2023年12月に dotmobiregistry.netは期限切れになり、誰でも登録可能になりました。

    Copyright © 2025 Yasuhiro Orange Morishita 4 TLDのWHOISサーバーが変更された場合、クライアントはIANAの登録情報を参照して、 新しいWHOISサーバーにアクセスする必要があります。 RDAPには、サーバーを自動追尾する仕組みがプロトコルに含まれています。
  3. 予告:メール認証に関するその後の動き • 証明書の発行・更新の自動化・MPIC*1・失効期限遵守の厳格化の対応を 進めるため、それらへの対応が難しいメール認証を段階的に全面廃止する 提案の草案が、 2025年7月12日にGoogleの担当者から公開されました。 • もしかすると、メール認証そのものも風前の灯なのかもしれません。 Copyright ©

    2025 Yasuhiro Orange Morishita 11 Exploring an alternative approach to the Validation Summit <https://groups.google.com/a/groups.cabforum.org/g/validation/c/V2kGDh8wxoo> *1 証明書発行時のドメイン名の権限確認の手順に別拠点からの確認を追加する仕組み。DNS認証・ファイル認証に対応。