CAB论坛禁止WHOIS和法律意见书验证域名

发布时间:2018-08-20 13:27:00

最近两次更新的基本要求将加强域名验证


8月1日,CAB论坛对签发数字证书的基本要求进行了几项新的修改,证书颁发机构不再允许使用第3.2.2.4节中的方法第1和第5条来验证域名所有权也就是说颁发机构(CA)们不能再通过仅仅是WHO查找和法律意见信来验证域名的所有权。


让我们从CAB论坛顶部开始浏览一遍,然后再进入实际的修改内容。


CAB论坛作为数字证书行业的监管机构,由证书颁发机构(CA)和主要浏览器组成,主要职责就是确定颁发证书的基本要求。


2015春季以来,CAB论坛一直致力于改进域名验证。正如DigiCert的Tim Hollebeek所说:


"长期以来,围绕如何[域验证]完成的机制的要求是相当模糊和松散的。更糟糕的是,只要颁发机构(CA)保证域名至少和使用方法之一一样是安全的,他们就可以使用各种方法来验证对域名的控制。这就给颁发机构(CA)在证书验证方面留下了很大的空间。"




因此,在2016年8月5日出台的Ballot 169正式取消了关于可以使用“任何其他办法”的基本要求,为了确保更强的验证,希望颁发机构可以使用一些新的技术步骤。然而,大多数的颁发机构(CA)并没有选择这些新的方法,而是继续使用旧的方法。

为强化管理,2017年12月,CAB论坛再次着手加强域验证,这一次通过消除一对被认为不安全的旧验证方法。

2月出台Ballot 218该投票有效地消除了两种域验证方法:方法1,WHO查找和方法,法律意见书。这两种方法都是经过修改的,因此2018年8月1日证书颁发机构将不再使用它们。继续使用WHIS查找或法律意见来验证域名所有权将被认为是错误发行,并将被撤销和/或不信任发现。坦率地说,这些变化对大多颁发机构CA来说不是主要的问题。今年生效的GDPR已经使WHOIS的查询已经受到了质疑。目前,ICANN和域名注册行业正在努力研究如何有效编辑WHOIS,以及它是否应该公开。与其等待修复,CAB论坛在没有WHOIS和类似的查询方法1的作用下也取得了进展,它认可了从一开始就没有打算用于域名验证的认证信件和第三方数据库。

同样的,讨论焦点转向Ballot 218,几乎没有证据表明颁发机构CA从往至今一直在使用方法5允许律师和会计师写声明强调某一领域的所有权。CAB论坛认为他们没有特权资格去进行声明评价。值得注意的是,法律意见书仍然适用于其他类型的验证,特别是因为它涉及到组织和扩展验证SSL证书,但作为验证域名所有权的手段,法律意见书不再被允许。


还有哪些方法可以用来验证域名所有权?


当然仍有许多方法可用于验证证书颁发机构的域所有权。如果想获得一个完整的思路,就需要充分了解基本要求。相比较钻研63页的法律术语而言,这里有一个简短的版本:

Method #2CA可以通过电子邮件、传真、SMS或蜗牛邮件发送一个随机值来确认域名所有权,然后使用随机值接收确认响应。

Method #3CA可以通过调用注册者的电话号码来确认域名所有权,并获得确认申请人的验证请求的响应。

Method #4CA可以通过发送电子邮件到以下批准的地址中的一个或多个来确认域名所有权:

  • Admin@Domain
  • Administrator@Domain
  • Webmaster@Domain
  • Hostmaster@Domain
  • Postmaster@Domain (注意:如果适用,CA还可以向WHOIS列表中的注册人联系人发送验证电子邮件。)

Method #6 CA可以通过确认对网站的同意更改来确认域名所有权。

Method #7CA可以通过确认网站DNS CNNT、TXT或CAA记录中的随机值的存在来确认域名所有权。

Method #8 CA可以通过确认申请人控制IP地址来确认域名所有权。

Method #9 CA可以通过确认网站上未过期的测试证书来确认域名所有权。

Method #10CA可以通过确认该域内证书的随机值的存在来确认域所有权,CA可以通过授权的端口通过TLS访问该域。

目前,CAB论坛正在进行工作中,对CA发布证书详细信息使用的验证方法的要求进行编码。论坛希望这将确定最常用的验证方法,同时也有助于发现错误的问题

来源:The ssl store

最新发布
1
《贵州省人力资源社会保障厅关于推动落实〈电子劳动合同订立指引〉有关工作的通知》政策解读
2
惊!91%的工业企业容易遭受网络攻击
3
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
4
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
5
《中华人民共和国个人信息保护法》审议通过
6
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行
7
规范“人脸识别”,为盗刷者戴上“紧箍咒”
8
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
9
《网络安全审查办法(修订草案征求意见稿)》解读
10
划重点!《人民法院在线诉讼规则》正在施行中
相关推荐
《贵州省人力资源社会保障厅关于推动落实〈电子劳动合同订立指引〉有关工作的通知》政策解读
谷歌chrome90以HTTPS作为默认协议发布
ParkMobile泄密事件暴露了2100万用户的车牌数据和手机号码
由于证书过期,Pulse Secure VPN用户无法登录
不知道如何“不见面”招投标?天威诚信来帮你!
美国最大的丙烷供应商AmeriGas自曝发生了数据泄露
医疗保健网络钓鱼事件导致大规模数据泄露
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
惊!91%的工业企业容易遭受网络攻击
“滴滴事件”敲响个人信息安全警钟