Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
風が吹けばWHOISが使えなくなる~なぜWHOIS・RDAPはサーバー証明書のメール認証に使え...
Search
Yasuhiro Orange Morishita / 森下泰宏
August 01, 2025
Technology
15
5.9k
風が吹けばWHOISが使えなくなる~なぜWHOIS・RDAPはサーバー証明書のメール認証に使えなくなったのか~
2025年8月1日に開催された、JANOG56 Meeting 野良LT BoFの発表資料です。
Yasuhiro Orange Morishita / 森下泰宏
August 01, 2025
Tweet
Share
More Decks by Yasuhiro Orange Morishita / 森下泰宏
See All by Yasuhiro Orange Morishita / 森下泰宏
技術資料を作る時に心掛けていること―技術広報の集い#2 #技術広報の集い
orangemorishita
1
670
Other Decks in Technology
See All in Technology
僕たちが「開発しやすさ」を求め 模索し続けたアーキテクチャ #アーキテクチャ勉強会_findy
bengo4com
0
2.6k
AIと描く、未来のBacklog 〜プロジェクト管理の次の10年を想像し、創造するセッション〜
hrm_o25
0
110
MCPサーバーを活用したAWSコスト管理
arie0703
0
130
コミュニティと計画的偶発性理論 - 出会いが人生を変える / Life-Changing Encounters
soudai
PRO
7
850
自治体職員がガバクラの AWS 閉域ネットワークを理解するのにやって良かった個人検証環境
takeda_h
2
330
Claude Code x Androidアプリ 開発
kgmyshin
1
290
20250818_KGX・One Hokkaidoコラボイベント
tohgeyukihiro
0
120
意志の力が9割。アニメから学ぶAI時代のこれから。
endohizumi
1
110
Backboneとしてのtimm2025
yu4u
2
420
Jamf Connect ZTNAとMDMで実現! 金融ベンチャーにおける「デバイストラスト」実例と軌跡 / Kyash Device Trust
rela1470
1
210
サービスロボット最前線:ugoが挑むPhysical AI活用
kmatsuiugo
0
140
生成AI利用プログラミング:誰でもプログラムが書けると 世の中どうなる?/opencampus202508
okana2ki
0
160
Featured
See All Featured
Why Our Code Smells
bkeepers
PRO
338
57k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
18
1.1k
Why You Should Never Use an ORM
jnunemaker
PRO
58
9.5k
A better future with KSS
kneath
239
17k
Building a Scalable Design System with Sketch
lauravandoore
462
33k
Measuring & Analyzing Core Web Vitals
bluesmoon
9
560
Music & Morning Musume
bryan
46
6.7k
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
Speed Design
sergeychernyshev
32
1.1k
How GitHub (no longer) Works
holman
314
140k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
Product Roadmaps are Hard
iamctodd
PRO
54
11k
Transcript
風が吹けばWHOISが使えなくなる ~なぜWHOIS・RDAPはサーバー証明書のメール認証に使えなくなったのか~ 2025年8月1日 JANOG56 野良LT BoF 森下泰宏/Orange Copyright © 2025
Yasuhiro Orange Morishita 1
Disclaimer • 本発表の内容には、発表者個人の見解が含まれます。 • 本発表の内容は、発表者の勤務先・関係団体の公式見解ではありません。 • 発表時間が短いため、ドメイン名業界やサーバー証明書業界(WebPKI) の意思決定の仕組み・しきたり・上下関係強弱などについては説明しません。 Copyright ©
2025 Yasuhiro Orange Morishita 2
本日の内容 • 2025年7月15日から、サーバー証明書の発行におけるドメイン名管理権限 確認(DCV)の参照先として、WHOIS・RDAPのコンタクト情報を使うこと ができなくなりました*1。 – できなくなった方法:認証局が発行要求を受け取ったドメイン名のWHOIS・RDAPを 参照して、そのコンタクト情報の電子メールアドレスにランダムな内容が書かれている メッセージを送り、メッセージを受け取った申請者が認証局にその内容を伝える •
そのきっかけは、2024年9月にドメイン名業界で発生した、とある事件でした。 • 今回はこの事件から使用禁止までの経緯について、コンパクトに話します。 Copyright © 2025 Yasuhiro Orange Morishita 3 *1 Ballot SC080v3: Sunset the use of WHOIS to identify Domain Contacts and relying DCV Methods <https://cabforum.org/2024/11/14/ballot-sc080v3-sunset-the-use-of-whois-to-identify-domain-contacts-and-relying-dcv-methods/>
第1幕:.mobiのシステム改修 • 2022年に.mobiのレジストリがシステムを改修し、サービス用のドメイン名を dotmobiregistry.netから、nic.mobiに変更しました。 – .mobiのレジストリはICANNとの契約通り、IANAの登録情報を更新していました。 • しかし、同社は変更前のドメイン名を維持せず、 2023年12月に dotmobiregistry.netは期限切れになり、誰でも登録可能になりました。
Copyright © 2025 Yasuhiro Orange Morishita 4 TLDのWHOISサーバーが変更された場合、クライアントはIANAの登録情報を参照して、 新しいWHOISサーバーにアクセスする必要があります。 RDAPには、サーバーを自動追尾する仕組みがプロトコルに含まれています。
第2幕:セキュリティ研究者の気づき • この状況を発見したセキュリティ研究者が、2024年8月に dotmobiregistry.netを、20米ドルで再登録しました。 • セキュリティ研究者が試しに、.mobiの公式WHOISサーバーだった whois.dotmobiregistry.netでWHOISサーバーを立ち上げたところ、 世界中の多数のIPアドレスからアクセスされていることが判明しました。 • それらのIPアドレスには、ある大手認証局のものも含まれていました。
Copyright © 2025 Yasuhiro Orange Morishita 5
第3幕:セキュリティ研究者のドヤり • これに注目したセキュリティ研究者が、このWHOISサーバーに偽のコンタクト 情報を設定して、アクセスのあった認証局に証明書の発行を申請したところ、 その認証局は任意の.mobiドメイン名の証明書を不正発行してしまう状態に なっていたことが判明しました。 • セキュリティ研究者は「もう1クリックすると偽のコンタクト情報の電子メール アドレスに発行確認のメールが送られる」状態で作業を中断したため、 証明書は発行されませんでした。
• セキュリティ研究者が、この状況をブログで公開しました*1。 Copyright © 2025 Yasuhiro Orange Morishita 6 *1 We Spent $20 To Achieve RCE And Accidentally Became The Admins Of .MOBI <https://labs.watchtowr.com/we-spent-20-to-achieve-rce-and-accidentally-became-the-admins-of-mobi/>
第4幕:サーバー証明書業界への飛び火 • ドメイン名業界・DNS業界では「またドロップキャッチ案件か」「やらかしたのは よりによってレジストリか」「証明書を不正発行されても、BGPやDNSをひねら ないと使えないよね」ぐらいの反応でした。 • しかし、サーバー証明書業界では 証明書全体の信頼を揺るがす深刻な問題と 捉えられ、関連するコミュニティのフォーラムで 火の手が上がりました。
Copyright © 2025 Yasuhiro Orange Morishita 7 <https://x.com/OrangeMorishita/status/1837275057724477682>
第5幕:炎上するフォーラム • フォーラムで別のセキュリティ研究者が、多くのccTLDではWHOIS・RDAPの 提供や情報の正確性の担保が契約で義務付けられていないことと、実際に WHOISが十分に機能していないTLDが複数存在することを指摘しました。 • その結果、コミュニティのメンバーにWHOISの信頼性そのものに対する疑義が 生じ、WHOISの使用を全面的に禁止する形で、方向性が定まりました。 • WHOIS・RDAPの使用を信頼できるTLDのみに限定する案も出されましたが、
認証方式を複雑にすべきではないという観点から、採用されませんでした。 Copyright © 2025 Yasuhiro Orange Morishita 8
第6幕:Googleの処断と情状酌量 • 当初、フォーラムには2024年11月1日からWHOISの使用を禁止するという 過激な提案が、Googleの担当者から出されました。 • しかし、システム改修や顧客対応に必要な期間を考慮してほしい旨の嘆願書 意見が認証局の担当者から出された結果、以下の2段階に提案が改訂され、 投票による多数決で決定されました。 – 2025年1月15日から、WHOIS・RDAPの使用時にIANAの情報を参照して、
TLDごとのアクセス先を決定することを義務付ける – 2025年7月15日から、WHOIS・RDAPの使用を禁止する Copyright © 2025 Yasuhiro Orange Morishita 9 ということで、ドメイン名業界で風が吹いてサーバー証明書業界で 火の手が上がった結果、WHOISはメール認証に使えなくなりました。
第7幕:ICANNの後始末 • ICANNは今回の件を受け、WHOISサーバーのドメイン名を運用終了後も 無期限に維持することを強く推奨する旨の通知文書を、2025年1月24日に すべてのgTLDレジストリ・レジストラに送付しました。 • なお、gTLDでは既にWHOISはレジストリ・レジストラの義務ではなくなって おり、提供を終了するレジストリ・レジストラも現れ始めています。 – gTLDではRDAPの提供が義務付けられており、ICANN
Lookupで検索できます。 Copyright © 2025 Yasuhiro Orange Morishita 10 ICANN:Notice: Rogue WHOIS Server Exploit <https://www.icann.org/resources/pages/notice-rogue-whois-server-exploit-2025-01-24-en> ICANN Lookup <https://lookup.icann.org/en>
予告:メール認証に関するその後の動き • 証明書の発行・更新の自動化・MPIC*1・失効期限遵守の厳格化の対応を 進めるため、それらへの対応が難しいメール認証を段階的に全面廃止する 提案の草案が、 2025年7月12日にGoogleの担当者から公開されました。 • もしかすると、メール認証そのものも風前の灯なのかもしれません。 Copyright ©
2025 Yasuhiro Orange Morishita 11 Exploring an alternative approach to the Validation Summit <https://groups.google.com/a/groups.cabforum.org/g/validation/c/V2kGDh8wxoo> *1 証明書発行時のドメイン名の権限確認の手順に別拠点からの確認を追加する仕組み。DNS認証・ファイル認証に対応。
ありがとうございました! Copyright © 2025 Yasuhiro Orange Morishita 12