2018年8月1日,CAB论坛的基线要求发生了新的变化,对于申请SSL证书的域名验证发生了新的调整。要求证书颁发机构(即CA机构)不再允许使用第3.2.2.4节中的方法#1和#5来验证域名所有权。
第3.2.2.4节中的方法#1:WHOIS查找方法
只需要向域名注册商验证证书申请者的名称和地址与域名联系人一致。
第3.2.2.4节中的方法#5:域名授权文件
通过律师撰写域名授权文件确认申请者对域名拥有控制权。
但是以上两种验证方法都存在漏洞,并不特别安全。如CA无法从第三方数据库中确认申请域名的所有权和控制权;律师是没有资格评估谁拥有域名的控制权。
之前,CAB一直希望能删除这两种验证方式。终于在2018年2月Ballot 218获得通过,取消了以上两种域名验证方式。从2018年8月1日起,CA机构将不能继续使用上诉两种方式来进行验证域名。如果仍在继续使用这两种方式来验证域名所有权将被视为错误颁发,当被发现时将被撤销或直接采取不信任的处理。
其实,CAB论坛一直在积极对域名验证进行改善。域名验证变化的时间轴:
2015年年初开始,CAB论坛提出对域名验证的安全性提出质疑。
2016年8月5日,Ballot 169终于通过,删除了“任何其他方法”,并添加了详细的技术步骤,以便通过各种方式验证域的技术控制。
2017年12月,再次对现有的域名验证安全性提出异议,并转化更安全的验证方法,如电子邮件或电话验证。
2018年2月,Ballot 218获得通过,取消WHOIS查找方法和域名授权文件两种域名验证方式。
而数安时代GDCA作为国内已通过Webtrust国际认证的CA机构,其所有的证书的验证标准均符合国际CAB论坛的基线要求,目前数安时代GDCA验证域名的方式有三种:
1、File(文件验证)
证书颁发机构将通过访问特定 URL 地址来验证您是否拥有该域名的控制权。因此,您需要下载给定的验证文件,并上传到服务器,并保证通过该URL能够正常访问(注意,不可使用301跳转)。
2、Email(邮箱验证)
证书颁发机构将搜索该域名的Whois信息,获取域名注册者或管理者的Email,通过验证Email的控制权,来证明您拥有该域名的所有权。
3、DNS(DNS验证)
GDCA 将通过查询 DNS 的 TXT 记录来确定您对该域名的所有权。
SSL证书是HTTP明文协议升级HTTPS加密协议的重要渠道,是网络安全传输的加密通道。而申请SSL证书必须要向符合国际标准的CA机构申请。数安时代GDCA致力于网络信息安全,已通过WebTrust 的国际认证,是全球可信任的证书签发机构。数安时代GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议,并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。
文章转载https://www.trustauth.cn/news/security-news/26139.html