4006-555-883

CAB论坛禁止WHOIS和法律意见书验证域名

发布时间:2018-08-20 13:27:00

最近两次更新的基本要求将加强域名验证


8月1日,CAB论坛对签发数字证书的基本要求进行了几项新的修改,证书颁发机构不再允许使用第3.2.2.4节中的方法第1和第5条来验证域名所有权也就是说颁发机构(CA)们不能再通过仅仅是WHO查找和法律意见信来验证域名的所有权。


让我们从CAB论坛顶部开始浏览一遍,然后再进入实际的修改内容。


CAB论坛作为数字证书行业的监管机构,由证书颁发机构(CA)和主要浏览器组成,主要职责就是确定颁发证书的基本要求。


2015春季以来,CAB论坛一直致力于改进域名验证。正如DigiCert的Tim Hollebeek所说:


"长期以来,围绕如何[域验证]完成的机制的要求是相当模糊和松散的。更糟糕的是,只要颁发机构(CA)保证域名至少和使用方法之一一样是安全的,他们就可以使用各种方法来验证对域名的控制。这就给颁发机构(CA)在证书验证方面留下了很大的空间。"




因此,在2016年8月5日出台的Ballot 169正式取消了关于可以使用“任何其他办法”的基本要求,为了确保更强的验证,希望颁发机构可以使用一些新的技术步骤。然而,大多数的颁发机构(CA)并没有选择这些新的方法,而是继续使用旧的方法。

为强化管理,2017年12月,CAB论坛再次着手加强域验证,这一次通过消除一对被认为不安全的旧验证方法。

2月出台Ballot 218该投票有效地消除了两种域验证方法:方法1,WHO查找和方法,法律意见书。这两种方法都是经过修改的,因此2018年8月1日证书颁发机构将不再使用它们。继续使用WHIS查找或法律意见来验证域名所有权将被认为是错误发行,并将被撤销和/或不信任发现。坦率地说,这些变化对大多颁发机构CA来说不是主要的问题。今年生效的GDPR已经使WHOIS的查询已经受到了质疑。目前,ICANN和域名注册行业正在努力研究如何有效编辑WHOIS,以及它是否应该公开。与其等待修复,CAB论坛在没有WHOIS和类似的查询方法1的作用下也取得了进展,它认可了从一开始就没有打算用于域名验证的认证信件和第三方数据库。

同样的,讨论焦点转向Ballot 218,几乎没有证据表明颁发机构CA从往至今一直在使用方法5允许律师和会计师写声明强调某一领域的所有权。CAB论坛认为他们没有特权资格去进行声明评价。值得注意的是,法律意见书仍然适用于其他类型的验证,特别是因为它涉及到组织和扩展验证SSL证书,但作为验证域名所有权的手段,法律意见书不再被允许。


还有哪些方法可以用来验证域名所有权?


当然仍有许多方法可用于验证证书颁发机构的域所有权。如果想获得一个完整的思路,就需要充分了解基本要求。相比较钻研63页的法律术语而言,这里有一个简短的版本:

Method #2CA可以通过电子邮件、传真、SMS或蜗牛邮件发送一个随机值来确认域名所有权,然后使用随机值接收确认响应。

Method #3CA可以通过调用注册者的电话号码来确认域名所有权,并获得确认申请人的验证请求的响应。

Method #4CA可以通过发送电子邮件到以下批准的地址中的一个或多个来确认域名所有权:

  • Admin@Domain
  • Administrator@Domain
  • Webmaster@Domain
  • Hostmaster@Domain
  • Postmaster@Domain (注意:如果适用,CA还可以向WHOIS列表中的注册人联系人发送验证电子邮件。)

Method #6 CA可以通过确认对网站的同意更改来确认域名所有权。

Method #7CA可以通过确认网站DNS CNNT、TXT或CAA记录中的随机值的存在来确认域名所有权。

Method #8 CA可以通过确认申请人控制IP地址来确认域名所有权。

Method #9 CA可以通过确认网站上未过期的测试证书来确认域名所有权。

Method #10CA可以通过确认该域内证书的随机值的存在来确认域所有权,CA可以通过授权的端口通过TLS访问该域。

目前,CAB论坛正在进行工作中,对CA发布证书详细信息使用的验证方法的要求进行编码。论坛希望这将确定最常用的验证方法,同时也有助于发现错误的问题

来源:The ssl store

最新发布
1
超八成搜索网站将个人信息出售,用户隐私安全谁来守护?
2
聚焦“国家网络安全宣传周”,部署SSL证书筑牢企业网站安全底线
3
上海6家单位被通报整改,企业不可不重视之网络安全防护责任
4
5年损失超430亿美元!你的电子邮件系统还安全吗?
5
银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫
6
4亿多条用户信息被盗,企业网站信息安全如何防护?
7
540万Twitter账户数据被兜售,网站数据安全还有“救”吗?
8
广东首例!一公司未履行数据安全保护义务被警方处罚,企业部署SSL证书需趁早
9
国家新安全技术标准发布!公有云个人信息保护成关注焦点
10
损失将达10.5万亿美元!未来10年企业如何应对勒索攻击?
相关推荐
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
央视专题报道,2亿多网民遭遇信息泄露,如何应对网络安全“重灾区”?
Twitter流量疑遭俄罗斯劫持!防劫持保安全SSL证书不可或缺
银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫
损失将达10.5万亿美元!未来10年企业如何应对勒索攻击?
4·15国家安全教育日 | 网络安全,你我共建
540万Twitter账户数据被兜售,网站数据安全还有“救”吗?
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
政府机构频遭黑客攻击,国密改造亟需加快推进