Ubiegasz się o wydanie Certyfikatu SSL typu Domain Validation? Czas na zmiany. Teraz gdy jest możliwość weryfikacji domeny za pomocą wiadomości e-mail, zamieszczenia pliku na serwerze oraz za pomocą DNS TXT czas na jeszcze jedną – weryfikację za pomocą połączenia telefonicznego. Na czym polega i w jaki sposób ma przebiegać ta metoda? Poznajcie szczegóły.


CA/Browser Forum. Ustalenia

CA/Browser Forum, jest niezrzeszonym stowarzyszeniem oddzielnych organizacji. Jego celem jest wykorzystywanie najlepszych praktyk branżowych i wypracowywanie rozwiązań wspierających rozwijanie funkcjonowania certyfikatów SSL. Działalność ma na celu zapewnienie użytkownikom najwyższych standardów bezpieczeństwa w sieci. To właśnie tutaj zapadły nowe decyzje.


Weryfikacja prawa do domeny

Certyfikat SSL typu DV wydawany jest dla określonej domeny bądź poszczególnych nazw w jej obrębie. Warunkiem koniecznym w ramach wydania certyfikatu SSL jest posiadanie prawa własności domeny, która ma zostać zabezpieczona.
Ubiegając się o certyfikat SSL typu DV Urząd Certyfikujący musi upewnić się, że osoba/instytucja ubiegająca się o jego wydanie jest rzeczywiście administratorem domeny i posiada do niej prawo. Weryfikacja przebiega w oparciu o jedną z niżej wymienionych metod:

  • Wiadomość E-mail
    Urząd Certyfikujący wysyła autoryzowaną wiadomość za pośrednictwem poczty elektronicznej. Mail wysyłany jest na adres w domenie dla której ma zostać wystawiony certyfikat, np: admin@nazwadomeny.pl, administrator@nazwadomeny.pl.
  • Zamieszczenie pliku na serwerze
    Kolejną z metod potwierdzających prawo do domeny jest umieszczenie pliku z wymaganymi informacjami na serwerze. Treść oraz dokładną lokalizację, w której należy umieścić – podaje Urząd Certyfikujący.
  • Rekord TXT w strefie DNS
    Metoda polega na utworzeniu rekordu TXT w pliku DNS. Treść rekordu zostaje podana przez Urząd Certyfikujący.

Nowe metody weryfikacji

Opracowano nowe metody weryfikacji certyfikatów SSL. Jak omówiono podczas spotkania CA/Browser Forum wprowadzenie aktualizacji jest konieczne, aby przeciwdziałać potencjalnym złym praktykom, które mogłyby prowadzić do zagrożeń bezpieczeństwa. Poznajcie 2 nowe metody.

Kontakt telefoniczny

Weryfikacja za pomocą połączenia telefonicznego. Urząd Certyfikujący, w odniesieniu do procesu rejestracji domeny, będzie mógł sprawdzić w bazie WHOIS dane użytkownika dla danej domeny i w ten sposób skontaktować się z nim, w celu weryfikacji certyfikatu SSL. Osoba kontaktowa uwzględniona w bazie i przypisana dla danej domeny może w ten sposób potwierdzić prawo do domeny. W przypadku podjęcia nieudanej próby kontaktu przez CA (nieodebranie połączenia/brak zasięgu/poczta głosowa) przewidziano jeszcze jedno rozwiązanie na tą okoliczność. Urząd Certyfikacji może zostawić wiadomość podając losową wartość. Taka wiadomość jest aktualna przez okres 30 dni. Jeżeli w tym czasie Osoba kontaktowa potwierdzi autentyczność domeny, podając tę samą losową wartość w komunikacie odpowiedzi potwierdzi swoją autentyczność.

Metoda ta jednak budzi wiele obaw w kontekście RODO. Dane kontaktowe widniejące w WHOIS, a więc nazwa, numer telefonu przypisane dla domeny są traktowane jako informacje prywatne. WHOIS może odmówić dostarczenia takich danych. Wówczas weryfikacja domeny tą metodą może się nie powieść.

Kontakt telefoniczny z DNS TXT

W porównaniu do wcześniejszej metody, wykorzystującej dane osobowe, ta wydaje się rozwiązywać problemy wynikające z RODO. Numer kontaktowy podaje się, jako rekord DNS TXT. Zatem numer telefonu nie jest powiązany z nazwiskiem osoby. Tworząc nowy rekord, będzie on przybierał następującą postać „_walidacja-numer_telefonu”. Rekord będzie zawierał prawidłowy numer telefonu spełniający jednocześnie wymagania RFC (zbiór technicznych i organizacyjnych dokumentów związanych z siecią komputerową i internetem). W przypadku nieudanej próby kontaktu, procedura może przebiegać zgodnie z wcześniej opisaną metodą.


Kolejne zmiany

Zaproponowane metody weryfikacji certyfikatów SSL, to dopiero początek. Jak czytamy w zapowiedziach – do końca roku planowana jest jeszcze jedna metoda wykorzystująca numer telefonu. Pozwoli ona właścicielowi domeny dodać numer telefonu do rekordu CAA powiązanego z domeną.

Zmiany wypracowywane przez organizacje tworzące CA/Browser Forum mają na celu usprawnienie przebiegu procesu weryfikacji certyfikatów. Potwierdzanie prawa do domeny za pomocą połączenia głosowego to kolejny krok w jego realizacji. W jaki sposób Urzędy Certyfikujące odniosą się do nowych możliwości? Jak będzie wyglądała walidacja typu DV? Przekonamy się wkrótce.

Źródło:
https://www.entrustdatacard.com/blog/2019/february/phone-domain-name-validation-for-ssl-certificates

Jak podobał Ci się ten artykuł?
5 Liczba ocen: 1

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *

Poznaj najnowsze wpisy w kategorii Bezpieczeństwo

@Poczta Kwiatowa. Case study

®Poczta Kwiatowa, czyli jak bezpiecznie dostarczyć przesyłkę na drugi koniec świata?

Imieniny, urodziny? A może wyjątkowa rocznica? Lub po prostu, chęć powiedzenia “Dobrze, że jesteś”. Nie ważne czy jesteś blisko, czy daleko. ®Poczta Kwiatowa to rozwiązanie, które jest zawsze na czas.

Czytaj dalej >>
Itaka. Świadomie do celu

Itaka. Świadomie do celu

Itaka od 32 lat kreuje dla nas niezapomniane doświadczenia podróżnicze. Zaszczytny tytuł lidera wśród polskich biur podróży zobowiązuje do ciągłego poszerzania portfolio usług. Nie mniej ważna jest świadoma obecność w sieci i ciągłe podejmowanie działań wspierających bezpieczeństwo użytkowników.

Czytaj dalej >>
Domena .eu. Europejskie standardy bezpieczeństwa.

Domena .eu - europejskie standardy bezpieczeństwa

Domena europejska to jedna z najchętniej rejestrowanych domen na świecie. Jak rozwijała się domena .eu i jakie priorytety w zakresie jej bezpiecznego użytkowania wprowadza EURid?

Czytaj dalej >>