最近两次更新的基本要求将加强域名验证
8月1日,CAB论坛对签发数字证书的基本要求进行了几项新的修改,证书颁发机构不再允许使用第3.2.2.4节中的方法第1和第5条来验证域名所有权,也就是说颁发机构(CA)们不能再通过仅仅是WHO查找和法律意见信来验证域名的所有权。
让我们从CAB论坛顶部开始浏览一遍,然后再进入实际的修改内容。
CAB论坛作为数字证书行业的监管机构,由证书颁发机构(CA)和主要浏览器组成,主要职责就是确定颁发证书的基本要求。
自2015春季以来,CAB论坛一直致力于改进域名验证。正如DigiCert的Tim Hollebeek所说:
"长期以来,围绕如何[域验证]完成的机制的要求是相当模糊和松散的。更糟糕的是,只要颁发机构(CA)保证域名至少和使用方法之一一样是安全的,他们就可以使用各种方法来验证对域名的控制。这就给颁发机构(CA)在证书验证方面留下了很大的空间。"
因此,在2016年8月5日出台的Ballot 169,正式取消了关于可以使用“任何其他办法”的基本要求,为了确保更强的验证,希望颁发机构可以使用一些新的技术步骤。然而,大多数的颁发机构(CA)并没有选择这些新的方法,而是继续使用旧的方法。
为强化管理,2017年12月,CAB论坛再次着手加强域验证,这一次通过消除一对被认为不安全的旧验证方法。
在2月出台了Ballot 218,该投票有效地消除了两种域验证方法:方法1,WHO查找和方法五,法律意见书。这两种方法都是经过修改的,因此2018年8月1日证书颁发机构将不再使用它们。继续使用WHIS查找或法律意见来验证域名所有权将被认为是错误发行,并将被撤销和/或不信任发现。坦率地说,这些变化对大多数颁发机构(CA)来说不是主要的问题。今年生效的GDPR已经使WHOIS的查询已经受到了质疑。目前,ICANN和域名注册行业正在努力研究如何有效编辑WHOIS,以及它是否应该公开。与其等待修复,CAB论坛在没有WHOIS和类似的查询方法1的作用下也取得了进展,它认可了从一开始就没有打算用于域名验证的认证信件和第三方数据库。
同样的,讨论焦点转向Ballot 218,几乎没有证据表明颁发机构(CA)从往至今一直在使用方法5允许律师和会计师写声明强调某一领域的所有权。CAB论坛认为他们没有特权资格去进行声明评价。值得注意的是,法律意见书仍然适用于其他类型的验证,特别是因为它涉及到组织和扩展验证SSL证书,但作为验证域名所有权的手段,法律意见书不再被允许。
还有哪些方法可以用来验证域名所有权?
当然,仍有许多方法可用于验证证书颁发机构的域所有权。如果想获得一个完整的思路,就需要充分了解基本要求。相比较钻研63页的法律术语而言,这里有一个简短的版本:
Method #2,CA可以通过电子邮件、传真、SMS或蜗牛邮件发送一个随机值来确认域名所有权,然后使用随机值接收确认响应。
Method #3,CA可以通过调用注册者的电话号码来确认域名所有权,并获得确认申请人的验证请求的响应。
Method #4,CA可以通过发送电子邮件到以下批准的地址中的一个或多个来确认域名所有权:
-
Admin@Domain
-
Administrator@Domain
-
Webmaster@Domain
-
Hostmaster@Domain
-
Postmaster@Domain (注意:如果适用,CA还可以向WHOIS列表中的注册人联系人发送验证电子邮件。)
Method #6 ,CA可以通过确认对网站的同意更改来确认域名所有权。
Method #7,CA可以通过确认网站DNS CNNT、TXT或CAA记录中的随机值的存在来确认域名所有权。
Method #8 ,CA可以通过确认申请人控制IP地址来确认域名所有权。
Method #9 ,CA可以通过确认网站上未过期的测试证书来确认域名所有权。
Method #10,CA可以通过确认该域内证书的随机值的存在来确认域所有权,CA可以通过授权的端口通过TLS访问该域。
目前,CAB论坛正在进行工作中,对CA发布证书详细信息使用的验证方法的要求进行编码。论坛希望这将确定最常用的验证方法,同时也有助于发现错误的问题。
来源:The ssl store