2025年起SSL憑證取消WHOIS信箱的驗證方式

何謂CABF?

CABF（Certificate Authority/Browser Forum）是由數位憑證發行機構（CA）和網頁瀏覽器公司組成的一個協作團體，目的是為了確保網路上的數位憑證（例如SSL憑證）符合一定的安全標準。這些標準幫助確保我們在使用網路時，網站的真實性和安全性能夠被確認，避免網路詐騙或資料被竊取。簡單來說，CABF訂定規則，讓我們的網路連線更加安全可靠。

 

為何WHOIS驗證有安全上的疑慮?

WHOIS驗證在CABF的規範中引發了一些爭議，主要是因為它涉及隱私和資料保護的問題。WHOIS是用來查詢網域名稱註冊資訊的工具，通常會顯示網域擁有者的聯絡資料。以前，這些資料對憑證發行商（CA）來說是一種有效的驗證手段，用來確認網站的真實所有者。
不過，這種做法被發現有一些問題：
1. 隱私問題：許多網域擁有者基於隱私和商業機密不希望個人或公司聯絡資料公開，公開的WHOIS資料可能會暴露這些不希望公開的資訊。
2. 資料不準確：由於WHOIS資料是由註冊者提供的，有些註冊者可能會填寫不正確或未即時更新資料，這會使WHOIS在驗證過程中的可靠性降低。
3. GDPR的影響：在歐洲，GDPR（一般資料保護條例）對個人資料的處理規範相當嚴格，這讓許多域名註冊商在提供WHOIS資料時進行了限制，造成WHOIS資料公開變得更加困難，進而影響到CABF依賴這些資料進行驗證的機制。
除了上述問題的關係，加上近期有人成功藉由WHOIS驗證的方式的漏洞成功竊取域名，因此促使CABF決議暫停SSL憑證的WHOIS驗證方式。

 

相關案例請看連結。