3 czerwca 2020

Nowe metody weryfikacji certyfikatów SSL

Domeny.pl
Bezpieczeństwo
#certyfikaty ssl

Ubiegasz się o wydanie Certyfikatu SSL typu Domain Validation? Czas na zmiany. Teraz gdy jest możliwość weryfikacji domeny za pomocą wiadomości e-mail, zamieszczenia pliku na serwerze oraz za pomocą DNS TXT czas na jeszcze jedną – weryfikację za pomocą połączenia telefonicznego. Na czym polega i w jaki sposób ma przebiegać ta metoda? Poznajcie szczegóły.


CA/Browser Forum. Ustalenia

CA/Browser Forum, jest niezrzeszonym stowarzyszeniem oddzielnych organizacji. Jego celem jest wykorzystywanie najlepszych praktyk branżowych i wypracowywanie rozwiązań wspierających rozwijanie funkcjonowania certyfikatów SSL. Działalność ma na celu zapewnienie użytkownikom najwyższych standardów bezpieczeństwa w sieci. To właśnie tutaj zapadły nowe decyzje.


Weryfikacja prawa do domeny

Certyfikat SSL typu DV wydawany jest dla określonej domeny bądź poszczególnych nazw w jej obrębie. Warunkiem koniecznym w ramach wydania certyfikatu SSL jest posiadanie prawa własności domeny, która ma zostać zabezpieczona.
Ubiegając się o certyfikat SSL typu DV Urząd Certyfikujący musi upewnić się, że osoba/instytucja ubiegająca się o jego wydanie jest rzeczywiście administratorem domeny i posiada do niej prawo. Weryfikacja przebiega w oparciu o jedną z niżej wymienionych metod:

  • Wiadomość E-mail
    Urząd Certyfikujący wysyła autoryzowaną wiadomość za pośrednictwem poczty elektronicznej. Mail wysyłany jest na adres w domenie dla której ma zostać wystawiony certyfikat, np: admin@nazwadomeny.pl, administrator@nazwadomeny.pl.
  • Zamieszczenie pliku na serwerze
    Kolejną z metod potwierdzających prawo do domeny jest umieszczenie pliku z wymaganymi informacjami na serwerze. Treść oraz dokładną lokalizację, w której należy umieścić – podaje Urząd Certyfikujący.
  • Rekord TXT w strefie DNS
    Metoda polega na utworzeniu rekordu TXT w pliku DNS. Treść rekordu zostaje podana przez Urząd Certyfikujący.

Nowe metody weryfikacji

Opracowano nowe metody weryfikacji certyfikatów SSL. Jak omówiono podczas spotkania CA/Browser Forum wprowadzenie aktualizacji jest konieczne, aby przeciwdziałać potencjalnym złym praktykom, które mogłyby prowadzić do zagrożeń bezpieczeństwa. Poznajcie 2 nowe metody.

Kontakt telefoniczny

Weryfikacja za pomocą połączenia telefonicznego. Urząd Certyfikujący, w odniesieniu do procesu rejestracji domeny, będzie mógł sprawdzić w bazie WHOIS dane użytkownika dla danej domeny i w ten sposób skontaktować się z nim, w celu weryfikacji certyfikatu SSL. Osoba kontaktowa uwzględniona w bazie i przypisana dla danej domeny może w ten sposób potwierdzić prawo do domeny. W przypadku podjęcia nieudanej próby kontaktu przez CA (nieodebranie połączenia/brak zasięgu/poczta głosowa) przewidziano jeszcze jedno rozwiązanie na tą okoliczność. Urząd Certyfikacji może zostawić wiadomość podając losową wartość. Taka wiadomość jest aktualna przez okres 30 dni. Jeżeli w tym czasie Osoba kontaktowa potwierdzi autentyczność domeny, podając tę samą losową wartość w komunikacie odpowiedzi potwierdzi swoją autentyczność.

Metoda ta jednak budzi wiele obaw w kontekście RODO. Dane kontaktowe widniejące w WHOIS, a więc nazwa, numer telefonu przypisane dla domeny są traktowane jako informacje prywatne. WHOIS może odmówić dostarczenia takich danych. Wówczas weryfikacja domeny tą metodą może się nie powieść.

Kontakt telefoniczny z DNS TXT

W porównaniu do wcześniejszej metody, wykorzystującej dane osobowe, ta wydaje się rozwiązywać problemy wynikające z RODO. Numer kontaktowy podaje się, jako rekord DNS TXT. Zatem numer telefonu nie jest powiązany z nazwiskiem osoby. Tworząc nowy rekord, będzie on przybierał następującą postać „_walidacja-numer_telefonu”. Rekord będzie zawierał prawidłowy numer telefonu spełniający jednocześnie wymagania RFC (zbiór technicznych i organizacyjnych dokumentów związanych z siecią komputerową i internetem). W przypadku nieudanej próby kontaktu, procedura może przebiegać zgodnie z wcześniej opisaną metodą.


Kolejne zmiany

Zaproponowane metody weryfikacji certyfikatów SSL, to dopiero początek. Jak czytamy w zapowiedziach – do końca roku planowana jest jeszcze jedna metoda wykorzystująca numer telefonu. Pozwoli ona właścicielowi domeny dodać numer telefonu do rekordu CAA powiązanego z domeną.

Zmiany wypracowywane przez organizacje tworzące CA/Browser Forum mają na celu usprawnienie przebiegu procesu weryfikacji certyfikatów. Potwierdzanie prawa do domeny za pomocą połączenia głosowego to kolejny krok w jego realizacji. W jaki sposób Urzędy Certyfikujące odniosą się do nowych możliwości? Jak będzie wyglądała walidacja typu DV? Przekonamy się wkrótce.

Źródło:
https://www.entrustdatacard.com/blog/2019/february/phone-domain-name-validation-for-ssl-certificates

Jak podobał Ci się ten artykuł?
5
Liczba ocen: 1
Nowe metody weryfikacji certyfikatów SSL

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Przeczytaj najpopularniejsze artykuły!

Jak wybrać domenę. Te 4 kroki Cię naprowadzą

Jak wybrać domenę. Te 4 kroki Cię naprowadzą

Planujesz kupić domenę i nie wiesz jaką wybrać? Zapewne Twoja pierwsza myśl to ".pl" lub ".com", ale to nie zawsze najlepszy wybór. Warto wziąć pod uwagę swoją formę działalności, obszar geograficzny i charakter działania.

Czytaj dalej >>
co to jest domena

Co to jest domena?

Domena internetowa jest to adres strony w internecie, który składa się z nazwy i rozszerzenia, tak zwanej końcówki (przykładowo: domeny.pl gdzie nazwa to "domeny" a końcówka ".pl"). Domena służy do odszukania strony www ...

Czytaj dalej >>
Jak sprawdzić gdzie strona jest hostowana?

Jak sprawdzić gdzie strona jest hostowana

Interesuje Cię gdzie strona Twojego konkurenta, klienta, a może Twoja własna jest hostowana? Możesz to sprawdzić w mniej niż minutę, wystarczy że znasz domenę. Poznaj polecane narzędzie

Czytaj dalej >>

Poznaj najnowsze wpisy w kategorii Bezpieczeństwo

Uważaj na fałszywe maile

Wyłudzanie danych. Uważaj na fałszywe wiadomości

Wyłudzanie danych. Fałszywe maile. Podejrzane sms-y. Zjawisko znane jest niemal w każdej sferze sieci. Większość z nas przynajmniej raz mogła się już spotkać z próbą wyłudzania danych.

Czytaj dalej >>
DMARC - czyli jak zwiększyć bezpieczeństwo korespondencji mailowej

DMARC – czyli jak zwiększyć bezpieczeństwo korespondencji mailowej

Codziennie wysyłamy globalnie setki tysięcy maili. Korespondencja mailowa zrewolucjonizowała komunikację. Bezpieczeństwo, słowo klucz nabiera szczególnego znaczenia. Poznaj rekord DMARC.

Czytaj dalej >>
Certyfikat VMC

Logo Twojej firmy w poczcie e-mail. Poznaj certyfikat VMC

VMC jest rodzajem certyfikatu cyfrowego, który potwierdza autentyczność Twojego logotypu w wiadomości. Oznacza to, że wysyłając e-mail, w skrzynce odbiorczej, adresat zamiast Twoich inicjałów, może zobaczyć logotyp Twojej marki.

Czytaj dalej >>