Fediver

SSL証明書発行時のメール認証は現在は多くの業者で、WHOISの情報の参照ではなくてwell-knownな管理者メールアドレスに送信するという方式をとっている。
ただ、CA/Browser Forumで、証明書の有効期限が今後順次短縮されて最終的に2029年以降は47日を超える有効期間を持つ証明書を発行できないことが決定されたほか、Googleがルート証明書ストアに格納する認証局に対して「ACMEなどの自動化認証を導入する」ことなどを要求しており、自動化認証以外の方法による認証は非現実的になりつつある。
https://www.digicert.com/jp/blog/tls-certificate-lifetimes-will-officially-reduce-to-47-days

そもそもGoogleがルート証明書の格納基準の中で
1. サーバー証明書の発行を極力自動化すること
2. サーバー証明書発行申請者の確認にあたって、電話・FAX・メール・SMSを使わないこと
を要請している。
ただ一部には、例えば古い仕様に従っているため _ で始まるCNAMEレコードやTXTレコードの設定を禁止するなどしているDNSサーバーもあるらしく、いまだにメール認証に頼らざるを得ないところの話も聞こえてくる。

Chrome Root Program Policy, Version 1.6 (3.3 Promote Cryptographic Agility and Resilience in the Web PKI)
https://googlechrome.github.io/chromerootprogram/#33-promote-cryptographic-agility-and-resilience-in-the-web-pki

メールでパスワードリセットをできるサービスは、実質メール認証だからなあ

Whoisに記載されたメールアドレスをSSL証明書発行の認証に使用できなくして、メール認証はそのドメイン名でホストされているメールサーバーにある既定の管理用メールアドレスに限るとする話は仕事で聞いていたけど、このようにWhoisサーバーが何らかの原因で乗っ取られもしくは偽装された場合に攻撃者のメールアドレスをもって認証される危険があるからか

.mobiドメインにおけるWHOISを用いた不正サーバ証明書の取得事例
https://asnokaze.hatenablog.com/entry/2024/09/27/003452