Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
風が吹けばWHOISが使えなくなる~なぜWHOIS・RDAPはサーバー証明書のメール認証に使え...
Search
Yasuhiro Orange Morishita / 森下泰宏
August 01, 2025
Technology
8
1.7k
風が吹けばWHOISが使えなくなる~なぜWHOIS・RDAPはサーバー証明書のメール認証に使えなくなったのか~
2025年8月1日に開催された、JANOG56 Meeting 野良LT BoFの発表資料です。
Yasuhiro Orange Morishita / 森下泰宏
August 01, 2025
Tweet
Share
More Decks by Yasuhiro Orange Morishita / 森下泰宏
See All by Yasuhiro Orange Morishita / 森下泰宏
技術資料を作る時に心掛けていること―技術広報の集い#2 #技術広報の集い
orangemorishita
0
630
Other Decks in Technology
See All in Technology
人に寄り添うAIエージェントとアーキテクチャ #BetAIDay
layerx
PRO
1
200
AI駆動開発 with MixLeap Study【大阪支部 #3】
lycorptech_jp
PRO
0
280
増え続ける脆弱性に立ち向かう: 事前対策と優先度づけによる 持続可能な脆弱性管理 / Confronting the Rise of Vulnerabilities: Sustainable Management Through Proactive Measures and Prioritization
nttcom
1
230
クマ×共生 HACKATHON - 熊対策を『特別な行動」から「生活の一部」に -
pharaohkj
0
260
FAST導入1年間のふりかえり〜現実を直視し、さらなる進化を求めて〜 / Review of the first year of FAST implementation
wooootack
1
220
AI によるドキュメント処理を加速するためのOCR 結果の永続化と再利用戦略
tomoaki25
0
230
AI人生苦節10年で会得したAIがやること_人間がやること.pdf
shibuiwilliam
1
230
AI コードレビューが面倒すぎるのでテスト駆動開発で解決しようとして読んだら、根本的に俺の勘違いだった
mutsumix
0
120
Tableau API連携の罠!?脱スプシを夢見たはずが、逆に依存を深めた話
cuebic9bic
2
160
2025-07-31: GitHub Copilot Agent mode at Vibe Coding Cafe (15min)
chomado
2
280
メモ整理が苦手な者による頑張らないObsidian活用術
optim
1
160
恐怖!テストコードなき夜
tsukuboshi
2
110
Featured
See All Featured
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
126
53k
Embracing the Ebb and Flow
colly
86
4.8k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.6k
A Modern Web Designer's Workflow
chriscoyier
695
190k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
139
34k
GraphQLとの向き合い方2022年版
quramy
49
14k
Typedesign – Prime Four
hannesfritz
42
2.7k
Why You Should Never Use an ORM
jnunemaker
PRO
58
9.5k
Faster Mobile Websites
deanohume
308
31k
Automating Front-end Workflow
addyosmani
1370
200k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
45
7.5k
Code Reviewing Like a Champion
maltzj
524
40k
Transcript
風が吹けばWHOISが使えなくなる ~なぜWHOIS・RDAPはサーバー証明書のメール認証に使えなくなったのか~ 2025年8月1日 JANOG56 野良LT BoF 森下泰宏/Orange Copyright © 2025
Yasuhiro Orange Morishita 1
Disclaimer • 本発表の内容には、発表者個人の見解が含まれます。 • 本発表の内容は、発表者の勤務先・関係団体の公式見解ではありません。 • 発表時間が短いため、ドメイン名業界やサーバー証明書業界(WebPKI) の意思決定の仕組み・しきたり・上下関係強弱などについては説明しません。 Copyright ©
2025 Yasuhiro Orange Morishita 2
本日の内容 • 2025年7月15日から、サーバー証明書の発行におけるドメイン名管理権限 確認(DCV)の参照先として、WHOIS・RDAPのコンタクト情報を使うこと ができなくなりました*1。 – できなくなった方法:認証局が発行要求を受け取ったドメイン名のWHOIS・RDAPを 参照して、そのコンタクト情報の電子メールアドレスにランダムな内容が書かれている メッセージを送り、メッセージを受け取った申請者が認証局にその内容を伝える •
そのきっかけは、2024年9月にドメイン名業界で発生した、とある事件でした。 • 今回はこの事件から使用禁止までの経緯について、コンパクトに話します。 Copyright © 2025 Yasuhiro Orange Morishita 3 *1 Ballot SC080v3: Sunset the use of WHOIS to identify Domain Contacts and relying DCV Methods <https://cabforum.org/2024/11/14/ballot-sc080v3-sunset-the-use-of-whois-to-identify-domain-contacts-and-relying-dcv-methods/>
第1幕:.mobiのシステム改修 • 2022年に.mobiのレジストリがシステムを改修し、サービス用のドメイン名を dotmobiregistry.netから、nic.mobiに変更しました。 – .mobiのレジストリはICANNとの契約通り、IANAの登録情報を更新していました。 • しかし、同社は変更前のドメイン名を維持せず、 2023年12月に dotmobiregistry.netは期限切れになり、誰でも登録可能になりました。
Copyright © 2025 Yasuhiro Orange Morishita 4 TLDのWHOISサーバーが変更された場合、クライアントはIANAの登録情報を参照して、 新しいWHOISサーバーにアクセスする必要があります。 RDAPには、サーバーを自動追尾する仕組みがプロトコルに含まれています。
第2幕:セキュリティ研究者の気づき • この状況を発見したセキュリティ研究者が、2024年8月に dotmobiregistry.netを、20米ドルで再登録しました。 • セキュリティ研究者が試しに、.mobiの公式WHOISサーバーだった whois.dotmobiregistry.netでWHOISサーバーを立ち上げたところ、 世界中の多数のIPアドレスからアクセスされていることが判明しました。 • それらのIPアドレスには、ある大手認証局のものも含まれていました。
Copyright © 2025 Yasuhiro Orange Morishita 5
第3幕:セキュリティ研究者のドヤり • これに注目したセキュリティ研究者が、このWHOISサーバーに偽のコンタクト 情報を設定して、アクセスのあった認証局に証明書の発行を申請したところ、 その認証局は任意の.mobiドメイン名の証明書を不正発行してしまう状態に なっていたことが判明しました。 • セキュリティ研究者は「もう1クリックすると偽のコンタクト情報の電子メール アドレスに発行確認のメールが送られる」状態で作業を中断したため、 証明書は発行されませんでした。
• セキュリティ研究者が、この状況をブログで公開しました*1。 Copyright © 2025 Yasuhiro Orange Morishita 6 *1 We Spent $20 To Achieve RCE And Accidentally Became The Admins Of .MOBI <https://labs.watchtowr.com/we-spent-20-to-achieve-rce-and-accidentally-became-the-admins-of-mobi/>
第4幕:サーバー証明書業界への飛び火 • ドメイン名業界・DNS業界では「またドロップキャッチ案件か」「やらかしたのは よりによってレジストリか」「証明書を不正発行されても、BGPやDNSをひねら ないと使えないよね」ぐらいの反応でした。 • しかし、サーバー証明書業界では 証明書全体の信頼を揺るがす深刻な問題と 捉えられ、関連するコミュニティのフォーラムで 火の手が上がりました。
Copyright © 2025 Yasuhiro Orange Morishita 7 <https://x.com/OrangeMorishita/status/1837275057724477682>
第5幕:炎上するフォーラム • フォーラムで別のセキュリティ研究者が、多くのccTLDではWHOIS・RDAPの 提供や情報の正確性の担保が契約で義務付けられていないことと、実際に WHOISが十分に機能していないTLDが複数存在することを指摘しました。 • その結果、コミュニティのメンバーにWHOISの信頼性そのものに対する疑義が 生じ、WHOISの使用を全面的に禁止する形で、方向性が定まりました。 • WHOIS・RDAPの使用を信頼できるTLDのみに限定する案も出されましたが、
認証方式を複雑にすべきではないという観点から、採用されませんでした。 Copyright © 2025 Yasuhiro Orange Morishita 8
第6幕:Googleの処断と情状酌量 • 当初、フォーラムには2024年11月1日からWHOISの使用を禁止するという 過激な提案が、Googleの担当者から出されました。 • しかし、システム改修や顧客対応に必要な期間を考慮してほしい旨の嘆願書 意見が認証局の担当者から出された結果、以下の2段階に提案が改訂され、 投票による多数決で決定されました。 – 2025年1月15日から、WHOIS・RDAPの使用時にIANAの情報を参照して、
TLDごとのアクセス先を決定することを義務付ける – 2025年7月15日から、WHOIS・RDAPの使用を禁止する Copyright © 2025 Yasuhiro Orange Morishita 9 ということで、ドメイン名業界で風が吹いてサーバー証明書業界で 火の手が上がった結果、WHOISはメール認証に使えなくなりました。
第7幕:ICANNの後始末 • ICANNは今回の件を受け、WHOISサーバーのドメイン名を運用終了後も 無期限に維持することを強く推奨する旨の通知文書を、2025年1月24日に すべてのgTLDレジストリ・レジストラに送付しました。 • なお、gTLDでは既にWHOISはレジストリ・レジストラの義務ではなくなって おり、提供を終了するレジストリ・レジストラも現れ始めています。 – gTLDではRDAPの提供が義務付けられており、ICANN
Lookupで検索できます。 Copyright © 2025 Yasuhiro Orange Morishita 10 ICANN:Notice: Rogue WHOIS Server Exploit <https://www.icann.org/resources/pages/notice-rogue-whois-server-exploit-2025-01-24-en> ICANN Lookup <https://lookup.icann.org/en>
予告:メール認証に関するその後の動き • 証明書の発行・更新の自動化・MPIC*1・失効期限遵守の厳格化の対応を 進めるため、それらへの対応が難しいメール認証を段階的に全面廃止する 提案の草案が、 2025年7月12日にGoogleの担当者から公開されました。 • もしかすると、メール認証そのものも風前の灯なのかもしれません。 Copyright ©
2025 Yasuhiro Orange Morishita 11 Exploring an alternative approach to the Validation Summit <https://groups.google.com/a/groups.cabforum.org/g/validation/c/V2kGDh8wxoo> *1 証明書発行時のドメイン名の権限確認の手順に別拠点からの確認を追加する仕組み。DNS認証・ファイル認証に対応。
ありがとうございました! Copyright © 2025 Yasuhiro Orange Morishita 12