ИТ Блог. Администрирование серверов на основе Linux (Ubuntu, Debian, CentOS, openSUSE)
В 2018 году CA/Browser Forum провел саммит по проверке домена, чтобы рассмотреть утвержденные методы проверки доменов. На встрече обсуждались преимущества и проблемы каждого метода проверки. Результатом встречи стали предложения по изменению существующих методов и некоторые предложения по новым методам.
Совпадением с обсуждением метода валидации была реализация GDPR. Это европейский инициатор защиты конфиденциальности. Соответствие GDPR создало проблемы при использовании метода 2, когда адрес электронной почты или номер телефона, найденные в записи WHOIS для доменного имени, больше не предоставлялись. Это означало, что центры сертификации (ЦС) больше не могли использовать эту информацию для связи с регистрантом доменного имени для подтверждения разрешения на выдачу сертификата с запрошенным доменным именем.
Проверка на свободные домены, массовая проверка.
Метод 13 был разработан для решения проблемы GDPR и был одобрен CA/Browser Forum в декабре 2018 года. Метод 13 позволяет публиковать адрес электронной почты в записи CAA или в тексте DNS, связанном с доменным именем. Как только адрес электронной почты получен, большинство правил проверки домена аналогичны методу 2. ЦС должен будет отправить случайное значение в электронном письме, а подтверждающий ответ будет содержать случайное значение. Ответ должен быть предоставлен в течение 30 дней, в противном случае случайное значение истечет.
Адрес электронной почты может использоваться в течение 13 месяцев для проверки доменов, используемых для сертификатов EV, и 825 дней для сертификатов OV/DV. Адрес электронной почты также можно использовать для подтверждения поддоменов и подстановочных сертификатов с использованием утвержденного доменного имени.
Для использования метода 13 администраторы DNS должны будут установить контакт электронной почты DNS CAA, связанный с их доменным именем.
Вот пример для записи CAA с использованием доменного имени example.com
Требования к адресу электронной почты определены в разделе 3.2 RFC 6532, без дополнительных полей или структуры.
Обратите внимание, что запись CAA не обязательно должна содержать запись о проблеме CAA. Это означает, что адрес электронной почты DNS CAA может использоваться всеми центрами сертификации. Ограничения могут быть реализованы путем добавления записей о проблемах CAA для ограничения числа авторизованных CA.
Адрес электронной почты Контактного электронного адреса DNS TXT должен быть размещен специально в поддомене «_validation-contactemail» проверяемого домена.
Адрес электронной почты для DNS TXT также должен соответствовать разделу 3.2 RFC 6532, без дополнительных дополнений или структуры.
Метод 13 является первым шагом, поскольку CA/Browser Forum начинает добавлять новые методы для обновления проверки доменного имени. В 2019 году мы также можем ожидать добавления телефонных номеров в CAA и DNS TXT, чтобы предоставить больше возможностей для проверки доменов.
Тэги: , домен, статьи Категории: Статьи
