Ubiegasz się o wydanie Certyfikatu SSL typu Domain Validation? Czas na zmiany. Teraz gdy jest możliwość weryfikacji domeny za pomocą wiadomości e-mail, zamieszczenia pliku na serwerze oraz za pomocą DNS TXT czas na jeszcze jedną – weryfikację za pomocą połączenia telefonicznego. Na czym polega i w jaki sposób ma przebiegać ta metoda? Poznajcie szczegóły.


CA/Browser Forum. Ustalenia

CA/Browser Forum, jest niezrzeszonym stowarzyszeniem oddzielnych organizacji. Jego celem jest wykorzystywanie najlepszych praktyk branżowych i wypracowywanie rozwiązań wspierających rozwijanie funkcjonowania certyfikatów SSL. Działalność ma na celu zapewnienie użytkownikom najwyższych standardów bezpieczeństwa w sieci. To właśnie tutaj zapadły nowe decyzje.


Weryfikacja prawa do domeny

Certyfikat SSL typu DV wydawany jest dla określonej domeny bądź poszczególnych nazw w jej obrębie. Warunkiem koniecznym w ramach wydania certyfikatu SSL jest posiadanie prawa własności domeny, która ma zostać zabezpieczona.
Ubiegając się o certyfikat SSL typu DV Urząd Certyfikujący musi upewnić się, że osoba/instytucja ubiegająca się o jego wydanie jest rzeczywiście administratorem domeny i posiada do niej prawo. Weryfikacja przebiega w oparciu o jedną z niżej wymienionych metod:

  • Wiadomość E-mail
    Urząd Certyfikujący wysyła autoryzowaną wiadomość za pośrednictwem poczty elektronicznej. Mail wysyłany jest na adres w domenie dla której ma zostać wystawiony certyfikat, np: admin@nazwadomeny.pl, administrator@nazwadomeny.pl.
  • Zamieszczenie pliku na serwerze
    Kolejną z metod potwierdzających prawo do domeny jest umieszczenie pliku z wymaganymi informacjami na serwerze. Treść oraz dokładną lokalizację, w której należy umieścić – podaje Urząd Certyfikujący.
  • Rekord TXT w strefie DNS
    Metoda polega na utworzeniu rekordu TXT w pliku DNS. Treść rekordu zostaje podana przez Urząd Certyfikujący.

Nowe metody weryfikacji

Opracowano nowe metody weryfikacji certyfikatów SSL. Jak omówiono podczas spotkania CA/Browser Forum wprowadzenie aktualizacji jest konieczne, aby przeciwdziałać potencjalnym złym praktykom, które mogłyby prowadzić do zagrożeń bezpieczeństwa. Poznajcie 2 nowe metody.

Kontakt telefoniczny

Weryfikacja za pomocą połączenia telefonicznego. Urząd Certyfikujący, w odniesieniu do procesu rejestracji domeny, będzie mógł sprawdzić w bazie WHOIS dane użytkownika dla danej domeny i w ten sposób skontaktować się z nim, w celu weryfikacji certyfikatu SSL. Osoba kontaktowa uwzględniona w bazie i przypisana dla danej domeny może w ten sposób potwierdzić prawo do domeny. W przypadku podjęcia nieudanej próby kontaktu przez CA (nieodebranie połączenia/brak zasięgu/poczta głosowa) przewidziano jeszcze jedno rozwiązanie na tą okoliczność. Urząd Certyfikacji może zostawić wiadomość podając losową wartość. Taka wiadomość jest aktualna przez okres 30 dni. Jeżeli w tym czasie Osoba kontaktowa potwierdzi autentyczność domeny, podając tę samą losową wartość w komunikacie odpowiedzi potwierdzi swoją autentyczność.

Metoda ta jednak budzi wiele obaw w kontekście RODO. Dane kontaktowe widniejące w WHOIS, a więc nazwa, numer telefonu przypisane dla domeny są traktowane jako informacje prywatne. WHOIS może odmówić dostarczenia takich danych. Wówczas weryfikacja domeny tą metodą może się nie powieść.

Kontakt telefoniczny z DNS TXT

W porównaniu do wcześniejszej metody, wykorzystującej dane osobowe, ta wydaje się rozwiązywać problemy wynikające z RODO. Numer kontaktowy podaje się, jako rekord DNS TXT. Zatem numer telefonu nie jest powiązany z nazwiskiem osoby. Tworząc nowy rekord, będzie on przybierał następującą postać „_walidacja-numer_telefonu”. Rekord będzie zawierał prawidłowy numer telefonu spełniający jednocześnie wymagania RFC (zbiór technicznych i organizacyjnych dokumentów związanych z siecią komputerową i internetem). W przypadku nieudanej próby kontaktu, procedura może przebiegać zgodnie z wcześniej opisaną metodą.


Kolejne zmiany

Zaproponowane metody weryfikacji certyfikatów SSL, to dopiero początek. Jak czytamy w zapowiedziach – do końca roku planowana jest jeszcze jedna metoda wykorzystująca numer telefonu. Pozwoli ona właścicielowi domeny dodać numer telefonu do rekordu CAA powiązanego z domeną.

Zmiany wypracowywane przez organizacje tworzące CA/Browser Forum mają na celu usprawnienie przebiegu procesu weryfikacji certyfikatów. Potwierdzanie prawa do domeny za pomocą połączenia głosowego to kolejny krok w jego realizacji. W jaki sposób Urzędy Certyfikujące odniosą się do nowych możliwości? Jak będzie wyglądała walidacja typu DV? Przekonamy się wkrótce.

Źródło:
https://www.entrustdatacard.com/blog/2019/february/phone-domain-name-validation-for-ssl-certificates

Jak podobał Ci się ten artykuł?
5 Liczba ocen: 1

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Poznaj najnowsze wpisy w kategorii Bezpieczeństwo

Zagrożenia w internecie. Mapa anty(bezpieczeństwa).

Zagrożenia w Internecie. Mapa (anty)bezpieczeństwa

Zagrożenia w internecie. Jak wygląda globalna mapa (anty)bezpieczeństwa. Co powinno nas zaniepokoić? Zobacz nasz przegląd ostatnich ataków w sieci.

Czytaj dalej >>
ECC. Certyfikaty SSL.

Krzywe eliptyczne w certyfikatach SSL. Teraz silniejsze szyfrowanie

ECC to najnowszy asymetryczny algorytm szyfrowania, który jest alternatywą dla algorytmu RSA. 256-bitowy klucz ECC odpowiada takim samym zabezpieczeniom jak 3,072-bitowy klucz RSA.

Czytaj dalej >>
Certyfikaty VMC i BIMI. Twoje logo w Gmailu

Certyfikaty VMC i BIMI. Twoje logo w Gmailu

Codziennie na nasze skrzynki spływają dziesiątki, a nawet setki wiadomości e-mail. Część z nich zostanie pominięta, niezauważona, część uznamy za spam, a część będą stanowiły różne formy nadużyć. Aby wspomóc firmy w ...

Czytaj dalej >>