## حذف WHOIS: انقلابی در امنیت وب
حذف WHOIS به عنوان سیستم تعیین کننده ثبت دامنه، در حال تبدیل شدن به یک واقعیت است. این تصمیم در پی بروز مشکلات امنیتی متعدد و افزایش تقلب در صدور گواهینامه های TLS اتخاذ شده است.
نگرانی های جدی مقامات صدور گواهینامه (CAs) و توسعه دهندگان مرورگرهای وب، به دنبال انتشار گزارشاتی در مورد امکان جعل اطلاعات WHOIS و دریافت گواهینامه برای دامنه های دیگران، به اوج خود رسیده است. پس از انتشار گزارشی از watchTowr که نشان داد مجرمان می توانند اطلاعات WHOIS را دستکاری کرده و گواهینامه های دامنه های متعلق به دیگران را به دست آورند، گوگل به طور رسمی پیشنهاد کاهش وابستگی به داده های WHOIS را مطرح کرد.
گوگل، اپل و مایکروسافت، از جمله اعضای Forum CA/Browser هستند که استانداردهای مربوط به اطلاعات WHOIS را تعیین می کنند. این گروه در حال تدوین راهکارهایی برای خاتمه استفاده از WHOIS است. مطابق با پیشنهاد گوگل، CAs از ماه نوامبر به بعد دیگر از داده های WHOIS برای تایید مالکیت دامنه استفاده نمی کنند.
این تغییر تنها یک تصمیم فنی جزئی نیست. گواهینامه های TLS برای مدت طولانی بخش اعظمی از امنیت اینترنت را تامین کرده و با رمزگذاری اطلاعات مبادله شده بین وبسایت ها و کاربران، اطمینان حاصل می کنند که اطلاعات به مقصد مورد نظر رسیده است. این گواهینامه ها با حرف “S” در “HTTPS” مطابقت دارند که مخفف کلمه secure است.
داده های WHOIS برای مدت طولانی در تایید مالکیت و نقطه نهایی اطلاعات مبادله شده، به عنوان یک دایرکتوری عمومی برای شناسایی و ارتباط با صاحبان وبسایت مورد استفاده قرار می گرفت.
اما گزارشی از watchTowr نشان داد که سیستم WHOIS دارای مشکلات امنیتی جدی است. محققان توانستند با ایجاد یک سرور WHOIS جعلی و پر کردن آن با اطلاعات نادرست درباره دامنه های “.mobi”، گواهینامه تایید را برای لینک ها بدون مالکیت واقعی دامنه به دست آورند. اگر این افراد افراد مضر بودند، می توانستند با استفاده از این روش، داده های کاربران و وبسایت ها را جمع آوری و دزدیده و افراد را با تله گذاری و فریب به دانلود نرم افزارهای مضر یا کلیک بر روی لینک های خطرناک وادار کنند.
## راهکارهای جدید برای تامین امنیت
گوگل برای حل این مشکل امنیتی، به دنبال راهکارهای جدیدی برای تایید مالکیت است. Registration Data Access Protocol (RDAP) یکی از گزینه های محبوب در forum است. این سیستم از WHOIS امن تر و به طور ساده تری قابل پیاده سازی است و دارای یک سیستم ثابت برای تایید اطلاعات مالکیت دامنه است. RDAP همچنین با قوانین حفظ حریم خصوصی که پس از راهاندازی WHOIS اجرا شده اند مطابقت دارد. RDAP برای شرکت هایی که در چارچوب قوانین GDPR اروپا فعالیت می کنند، نیز راهحل مناسبی است.
از سوی دیگر، هزینه های کوتاه مدت این تغییر قابل توجه است و به ویژه بر کسب و کارهای کوچک تاثیر منفی خواهد داشت. با این حال، با وجود مشکلات امنیت WHOIS و مشکلات ایجاد شده برای کاربران، تمایل به حفظ وضعیت فعلی نیز وجود ندارد. بنابراین نظر عمومی بر حذف WHOIS متمرکز است و در حال حاضر، جزئیات این تغییر در حال بررسی است. زمان بندی اجرای این تغییر نیز در حال مذاکره است. برخی از اعضای forum با ایده اجرای این تغییر در مدت کوتاه یک ماه مخالف هستند زیرا ممکن است شرکت هایی که از تایید ایمیل به طور اتوماتیک با استفاده از WHOIS استفاده می کنند، به زمان بیشتر برای جایگزینی آن با راهکارهای جدید نیاز داشته باشند. برخی نیز پیشنهاد کرده اند که تاریخ محدود برای اجرای این تغییر به ماه آوریل سال بعد موفق شود.
مطالب پیشنهادی :
ساعت هوشمند Mobvoi Ticwatch Atlas با سیستم عامل Wear OS، رقیب جدی ساعتهای Garmin هست و من واقعاً ازش هیجان زده هستم.
با استناد به نگرانیهای امنیتی، ایالات متحده اکنون به دنبال ممنوعیت خودروهای ساخت چین و روسیه است.
چطور میتونم به گوشی گوگل پیکسل 8 پرو بازسازی شده ارتقا پیدا کنم؟
20% از سیاستمداران و کارکنان آمریکایی در وب تاریک، ایمیلهایشان به خطر افتاده است.