Объявлены устаревшими 11 методов верификации доменов для TLS-сертификатов15.12.2025 19:30

Ассоциация CA/Browser Forum, выступающая площадкой для совместного принятия решений с учётом интересов производителей браузеров и удостоверяющих центров, утвердила новые требования к организациям, выдающим сертификаты для HTTPS. В новых требованиях объявлены устаревшими 11 методов проверки владения доменом, для которого выдаётся сертификат. Прекращение поддержки устаревших методов будет производиться поэтапно до марта 2028 года. В качестве причин прекращения поддержки отмечается фокусирование внимания на автоматически выполняемых и криптографически верифицируемых методах проверки.

Устаревшими объявлены методы, связанные с использованием информации из сервиса WHOIS, подтверждением контактных данных при помощи email, телефонных звонков, факсов, SMS или бумажных писем, а также верификацией на основе проверки владения IP-адресом, прописанным для домена в DNS. Предполагается, что прекращение поддержки указанных методов проверки позволит избавиться от лазеек, потенциально позволявших атакующим получить сертификат для домена, который они не контролируют. Например, год назад была продемонстрирована возможность получения TLS-сертификатов для чужих доменов в зоне ».mobi» путём захвата устаревшего WHOIS-сервиса регистратора данной доменной зоны.

Список методов подтверждения владения доменом, объявленных устаревшими:

  • Отправка Email, факса, SMS или бумажного письма по контактным данным, указанным для домена в базе WHOIS или в SOA-записи в DNS.

  • Отправка Email, факса, SMS или бумажного письма по контактным данным, указанным для связанного с доменом IP-адреса.

  • Отправка проверочного кода на типовые Email, такие как admin@, administrator@, webmaster@, hostmaster@ и postmaster@.

  • Отправка проверочного кода на Email, указанный в CAA-записи в DNS.

  • Отправка проверочного кода на Email, указанный в TXT-записи в DNS.

  • Подтверждение телефонным звонком на номер, указанный в качестве контактного для домена.

  • Подтверждение телефонным звонком на номер, указанный в TXT-записи в DNS.

  • Подтверждение телефонным звонком на номер, указанный в CAA-записи в DNS.

  • Подтверждение телефонным звонком на номер, указанный в качестве контактного для IP-адреса, к которому привязан домен.

  • Проверки на основе подтверждения владения IP-адресом, прописанным для домена в DNS.

  • Проверки на основе обратного резолвинга IP‑адреса.



Источник: http://www.opennet.ru/opennews/art.shtml? num=64426

OpenNet прочитано 1836 раз