4006-555-883

CAB论坛禁止WHOIS和法律意见书验证域名

发布时间:2018-08-20 13:27:00

最近两次更新的基本要求将加强域名验证


8月1日,CAB论坛对签发数字证书的基本要求进行了几项新的修改,证书颁发机构不再允许使用第3.2.2.4节中的方法第1和第5条来验证域名所有权也就是说颁发机构(CA)们不能再通过仅仅是WHO查找和法律意见信来验证域名的所有权。


让我们从CAB论坛顶部开始浏览一遍,然后再进入实际的修改内容。


CAB论坛作为数字证书行业的监管机构,由证书颁发机构(CA)和主要浏览器组成,主要职责就是确定颁发证书的基本要求。


2015春季以来,CAB论坛一直致力于改进域名验证。正如DigiCert的Tim Hollebeek所说:


"长期以来,围绕如何[域验证]完成的机制的要求是相当模糊和松散的。更糟糕的是,只要颁发机构(CA)保证域名至少和使用方法之一一样是安全的,他们就可以使用各种方法来验证对域名的控制。这就给颁发机构(CA)在证书验证方面留下了很大的空间。"




因此,在2016年8月5日出台的Ballot 169正式取消了关于可以使用“任何其他办法”的基本要求,为了确保更强的验证,希望颁发机构可以使用一些新的技术步骤。然而,大多数的颁发机构(CA)并没有选择这些新的方法,而是继续使用旧的方法。

为强化管理,2017年12月,CAB论坛再次着手加强域验证,这一次通过消除一对被认为不安全的旧验证方法。

2月出台Ballot 218该投票有效地消除了两种域验证方法:方法1,WHO查找和方法,法律意见书。这两种方法都是经过修改的,因此2018年8月1日证书颁发机构将不再使用它们。继续使用WHIS查找或法律意见来验证域名所有权将被认为是错误发行,并将被撤销和/或不信任发现。坦率地说,这些变化对大多颁发机构CA来说不是主要的问题。今年生效的GDPR已经使WHOIS的查询已经受到了质疑。目前,ICANN和域名注册行业正在努力研究如何有效编辑WHOIS,以及它是否应该公开。与其等待修复,CAB论坛在没有WHOIS和类似的查询方法1的作用下也取得了进展,它认可了从一开始就没有打算用于域名验证的认证信件和第三方数据库。

同样的,讨论焦点转向Ballot 218,几乎没有证据表明颁发机构CA从往至今一直在使用方法5允许律师和会计师写声明强调某一领域的所有权。CAB论坛认为他们没有特权资格去进行声明评价。值得注意的是,法律意见书仍然适用于其他类型的验证,特别是因为它涉及到组织和扩展验证SSL证书,但作为验证域名所有权的手段,法律意见书不再被允许。


还有哪些方法可以用来验证域名所有权?


当然仍有许多方法可用于验证证书颁发机构的域所有权。如果想获得一个完整的思路,就需要充分了解基本要求。相比较钻研63页的法律术语而言,这里有一个简短的版本:

Method #2CA可以通过电子邮件、传真、SMS或蜗牛邮件发送一个随机值来确认域名所有权,然后使用随机值接收确认响应。

Method #3CA可以通过调用注册者的电话号码来确认域名所有权,并获得确认申请人的验证请求的响应。

Method #4CA可以通过发送电子邮件到以下批准的地址中的一个或多个来确认域名所有权:

  • Admin@Domain
  • Administrator@Domain
  • Webmaster@Domain
  • Hostmaster@Domain
  • Postmaster@Domain (注意:如果适用,CA还可以向WHOIS列表中的注册人联系人发送验证电子邮件。)

Method #6 CA可以通过确认对网站的同意更改来确认域名所有权。

Method #7CA可以通过确认网站DNS CNNT、TXT或CAA记录中的随机值的存在来确认域名所有权。

Method #8 CA可以通过确认申请人控制IP地址来确认域名所有权。

Method #9 CA可以通过确认网站上未过期的测试证书来确认域名所有权。

Method #10CA可以通过确认该域内证书的随机值的存在来确认域所有权,CA可以通过授权的端口通过TLS访问该域。

目前,CAB论坛正在进行工作中,对CA发布证书详细信息使用的验证方法的要求进行编码。论坛希望这将确定最常用的验证方法,同时也有助于发现错误的问题

来源:The ssl store

最新发布
1
政府机构频遭黑客攻击,国密改造亟需加快推进
2
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
3
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
4
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
5
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
6
警惕!银行系统漏洞频发,国密改造亟需加快推进
7
4·15国家安全教育日 | 网络安全,你我共建
8
央视专题报道,2亿多网民遭遇信息泄露,如何应对网络安全“重灾区”?
9
Twitter流量疑遭俄罗斯劫持!防劫持保安全SSL证书不可或缺
10
证据曝光!美国对中国使用顶级网络武器!网络“镰刀”之下如何保护自己的安全?
相关推荐
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
战火蔓延,俄罗斯惨遭“断网”!国内网站备份国密证书刻不容缓!
频遭网络诈骗,是因为他们还不知道这个……
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
4·15国家安全教育日 | 网络安全,你我共建
红十字会网站超51万人信息被盗,加强网络安全时刻不能放松
当心!我国互联网持续遭受境外组织网络攻击,企业关键数据安全亟待加强
CA/B 论坛年终会议 | 新要求新前景 S/MIME证书和代码签名更新在即
政府机构频遭黑客攻击,国密改造亟需加快推进
松下集团发生数据泄露 及时部署SSL证书保障信息安全