Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
風が吹けばWHOISが使えなくなる~なぜWHOIS・RDAPはサーバー証明書のメール認証に使え...
Search
Yasuhiro Orange Morishita / 森下泰宏
August 01, 2025
Technology
8
1.7k
風が吹けばWHOISが使えなくなる~なぜWHOIS・RDAPはサーバー証明書のメール認証に使えなくなったのか~
2025年8月1日に開催された、JANOG56 Meeting 野良LT BoFの発表資料です。
Yasuhiro Orange Morishita / 森下泰宏
August 01, 2025
Tweet
Share
More Decks by Yasuhiro Orange Morishita / 森下泰宏
See All by Yasuhiro Orange Morishita / 森下泰宏
技術資料を作る時に心掛けていること―技術広報の集い#2 #技術広報の集い
orangemorishita
0
630
Other Decks in Technology
See All in Technology
地域コミュニティへの「感謝」と「恩返し」 / 20250726jawsug-tochigi
kasacchiful
0
110
VLMサービスを用いた請求書データ化検証 / SaaSxML_Session_1
sansan_randd
0
150
From Live Coding to Vibe Coding with Firebase Studio
firebasethailand
1
330
[TechNight #91] Oracle Database 最新パフォーマンス分析手法
oracle4engineer
PRO
4
300
生成AI時代におけるAI・機械学習技術を用いたプロダクト開発の深化と進化 #BetAIDay
layerx
PRO
0
130
【CEDEC2025】LLMを活用したゲーム開発支援と、生成AIの利活用を進める組織的な取り組み
cygames
PRO
1
2k
Bet "Bet AI" - Accelerating Our AI Journey #BetAIDay
layerx
PRO
1
210
興味の胞子を育て 業務と技術に広がる”きのこ力”
fumiyasac0921
0
440
Vision Language Modelと自動運転AIの最前線_20250730
yuyamaguchi
2
890
株式会社島津製作所_研究開発(集団協業と知的生産)の現場を支える、OSS知識基盤システムの導入
akahane92
1
1.3k
Gemini in Android Studio - Google I/O Bangkok '25
akexorcist
0
100
少人数でも回る! DevinとPlaybookで支える運用改善
ishikawa_pro
5
2k
Featured
See All Featured
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
33
2.4k
Music & Morning Musume
bryan
46
6.7k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
34
3.1k
Six Lessons from altMBA
skipperchong
28
3.9k
Docker and Python
trallard
45
3.5k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
Bash Introduction
62gerente
613
210k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
331
22k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
126
53k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
48
2.9k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
182
54k
Transcript
風が吹けばWHOISが使えなくなる ~なぜWHOIS・RDAPはサーバー証明書のメール認証に使えなくなったのか~ 2025年8月1日 JANOG56 野良LT BoF 森下泰宏/Orange Copyright © 2025
Yasuhiro Orange Morishita 1
Disclaimer • 本発表の内容には、発表者個人の見解が含まれます。 • 本発表の内容は、発表者の勤務先・関係団体の公式見解ではありません。 • 発表時間が短いため、ドメイン名業界やサーバー証明書業界(WebPKI) の意思決定の仕組み・しきたり・上下関係強弱などについては説明しません。 Copyright ©
2025 Yasuhiro Orange Morishita 2
本日の内容 • 2025年7月15日から、サーバー証明書の発行におけるドメイン名管理権限 確認(DCV)の参照先として、WHOIS・RDAPのコンタクト情報を使うこと ができなくなりました*1。 – できなくなった方法:認証局が発行要求を受け取ったドメイン名のWHOIS・RDAPを 参照して、そのコンタクト情報の電子メールアドレスにランダムな内容が書かれている メッセージを送り、メッセージを受け取った申請者が認証局にその内容を伝える •
そのきっかけは、2024年9月にドメイン名業界で発生した、とある事件でした。 • 今回はこの事件から使用禁止までの経緯について、コンパクトに話します。 Copyright © 2025 Yasuhiro Orange Morishita 3 *1 Ballot SC080v3: Sunset the use of WHOIS to identify Domain Contacts and relying DCV Methods <https://cabforum.org/2024/11/14/ballot-sc080v3-sunset-the-use-of-whois-to-identify-domain-contacts-and-relying-dcv-methods/>
第1幕:.mobiのシステム改修 • 2022年に.mobiのレジストリがシステムを改修し、サービス用のドメイン名を dotmobiregistry.netから、nic.mobiに変更しました。 – .mobiのレジストリはICANNとの契約通り、IANAの登録情報を更新していました。 • しかし、同社は変更前のドメイン名を維持せず、 2023年12月に dotmobiregistry.netは期限切れになり、誰でも登録可能になりました。
Copyright © 2025 Yasuhiro Orange Morishita 4 TLDのWHOISサーバーが変更された場合、クライアントはIANAの登録情報を参照して、 新しいWHOISサーバーにアクセスする必要があります。 RDAPには、サーバーを自動追尾する仕組みがプロトコルに含まれています。
第2幕:セキュリティ研究者の気づき • この状況を発見したセキュリティ研究者が、2024年8月に dotmobiregistry.netを、20米ドルで再登録しました。 • セキュリティ研究者が試しに、.mobiの公式WHOISサーバーだった whois.dotmobiregistry.netでWHOISサーバーを立ち上げたところ、 世界中の多数のIPアドレスからアクセスされていることが判明しました。 • それらのIPアドレスには、ある大手認証局のものも含まれていました。
Copyright © 2025 Yasuhiro Orange Morishita 5
第3幕:セキュリティ研究者のドヤり • これに注目したセキュリティ研究者が、このWHOISサーバーに偽のコンタクト 情報を設定して、アクセスのあった認証局に証明書の発行を申請したところ、 その認証局は任意の.mobiドメイン名の証明書を不正発行してしまう状態に なっていたことが判明しました。 • セキュリティ研究者は「もう1クリックすると偽のコンタクト情報の電子メール アドレスに発行確認のメールが送られる」状態で作業を中断したため、 証明書は発行されませんでした。
• セキュリティ研究者が、この状況をブログで公開しました*1。 Copyright © 2025 Yasuhiro Orange Morishita 6 *1 We Spent $20 To Achieve RCE And Accidentally Became The Admins Of .MOBI <https://labs.watchtowr.com/we-spent-20-to-achieve-rce-and-accidentally-became-the-admins-of-mobi/>
第4幕:サーバー証明書業界への飛び火 • ドメイン名業界・DNS業界では「またドロップキャッチ案件か」「やらかしたのは よりによってレジストリか」「証明書を不正発行されても、BGPやDNSをひねら ないと使えないよね」ぐらいの反応でした。 • しかし、サーバー証明書業界では 証明書全体の信頼を揺るがす深刻な問題と 捉えられ、関連するコミュニティのフォーラムで 火の手が上がりました。
Copyright © 2025 Yasuhiro Orange Morishita 7 <https://x.com/OrangeMorishita/status/1837275057724477682>
第5幕:炎上するフォーラム • フォーラムで別のセキュリティ研究者が、多くのccTLDではWHOIS・RDAPの 提供や情報の正確性の担保が契約で義務付けられていないことと、実際に WHOISが十分に機能していないTLDが複数存在することを指摘しました。 • その結果、コミュニティのメンバーにWHOISの信頼性そのものに対する疑義が 生じ、WHOISの使用を全面的に禁止する形で、方向性が定まりました。 • WHOIS・RDAPの使用を信頼できるTLDのみに限定する案も出されましたが、
認証方式を複雑にすべきではないという観点から、採用されませんでした。 Copyright © 2025 Yasuhiro Orange Morishita 8
第6幕:Googleの処断と情状酌量 • 当初、フォーラムには2024年11月1日からWHOISの使用を禁止するという 過激な提案が、Googleの担当者から出されました。 • しかし、システム改修や顧客対応に必要な期間を考慮してほしい旨の嘆願書 意見が認証局の担当者から出された結果、以下の2段階に提案が改訂され、 投票による多数決で決定されました。 – 2025年1月15日から、WHOIS・RDAPの使用時にIANAの情報を参照して、
TLDごとのアクセス先を決定することを義務付ける – 2025年7月15日から、WHOIS・RDAPの使用を禁止する Copyright © 2025 Yasuhiro Orange Morishita 9 ということで、ドメイン名業界で風が吹いてサーバー証明書業界で 火の手が上がった結果、WHOISはメール認証に使えなくなりました。
第7幕:ICANNの後始末 • ICANNは今回の件を受け、WHOISサーバーのドメイン名を運用終了後も 無期限に維持することを強く推奨する旨の通知文書を、2025年1月24日に すべてのgTLDレジストリ・レジストラに送付しました。 • なお、gTLDでは既にWHOISはレジストリ・レジストラの義務ではなくなって おり、提供を終了するレジストリ・レジストラも現れ始めています。 – gTLDではRDAPの提供が義務付けられており、ICANN
Lookupで検索できます。 Copyright © 2025 Yasuhiro Orange Morishita 10 ICANN:Notice: Rogue WHOIS Server Exploit <https://www.icann.org/resources/pages/notice-rogue-whois-server-exploit-2025-01-24-en> ICANN Lookup <https://lookup.icann.org/en>
予告:メール認証に関するその後の動き • 証明書の発行・更新の自動化・MPIC*1・失効期限遵守の厳格化の対応を 進めるため、それらへの対応が難しいメール認証を段階的に全面廃止する 提案の草案が、 2025年7月12日にGoogleの担当者から公開されました。 • もしかすると、メール認証そのものも風前の灯なのかもしれません。 Copyright ©
2025 Yasuhiro Orange Morishita 11 Exploring an alternative approach to the Validation Summit <https://groups.google.com/a/groups.cabforum.org/g/validation/c/V2kGDh8wxoo> *1 証明書発行時のドメイン名の権限確認の手順に別拠点からの確認を追加する仕組み。DNS認証・ファイル認証に対応。
ありがとうございました! Copyright © 2025 Yasuhiro Orange Morishita 12