ИТ Блог. Администрирование серверов на основе Linux (Ubuntu, Debian, CentOS, openSUSE)

Введение в метод проверки доменных имен 13

Введение в метод проверки доменных имен 13

В 2018 году CA/Browser Forum провел саммит по проверке домена, чтобы рассмотреть утвержденные методы проверки доменов. На встрече обсуждались преимущества и проблемы каждого метода проверки. Результатом встречи стали предложения по изменению существующих методов и некоторые предложения по новым методам.

Совпадением с обсуждением метода валидации была реализация GDPR. Это европейский инициатор защиты конфиденциальности. Соответствие GDPR создало проблемы при использовании метода 2, когда адрес электронной почты или номер телефона, найденные в записи WHOIS для доменного имени, больше не предоставлялись. Это означало, что центры сертификации (ЦС) больше не могли использовать эту информацию для связи с регистрантом доменного имени для подтверждения разрешения на выдачу сертификата с запрошенным доменным именем.

Проверка на свободные домены, массовая проверка.

Метод 13 был разработан для решения проблемы GDPR и был одобрен CA/Browser Forum в декабре 2018 года. Метод 13 позволяет публиковать адрес электронной почты в записи CAA или в тексте DNS, связанном с доменным именем. Как только адрес электронной почты получен, большинство правил проверки домена аналогичны методу 2. ЦС должен будет отправить случайное значение в электронном письме, а подтверждающий ответ будет содержать случайное значение. Ответ должен быть предоставлен в течение 30 дней, в противном случае случайное значение истечет.

Адрес электронной почты может использоваться в течение 13 месяцев для проверки доменов, используемых для сертификатов EV, и 825 дней для сертификатов OV/DV. Адрес электронной почты также можно использовать для подтверждения поддоменов и подстановочных сертификатов с использованием утвержденного доменного имени.

 

Адрес электронной почты CAA

Для использования метода 13 администраторы DNS должны будут установить контакт электронной почты DNS CAA, связанный с их доменным именем.

Вот пример для записи CAA с использованием доменного имени example.com

Требования к адресу электронной почты определены в разделе 3.2 RFC 6532, без дополнительных полей или структуры.

Обратите внимание, что запись CAA не обязательно должна содержать запись о проблеме CAA. Это означает, что адрес электронной почты DNS CAA может использоваться всеми центрами сертификации. Ограничения могут быть реализованы путем добавления записей о проблемах CAA для ограничения числа авторизованных CA.

 

DNS TXT – Запись контакта

Адрес электронной почты Контактного электронного адреса DNS TXT должен быть размещен специально в поддомене «_validation-contactemail» проверяемого домена.

Адрес электронной почты для DNS TXT также должен соответствовать разделу 3.2 RFC 6532, без дополнительных дополнений или структуры.

 

Движение вперед

Метод 13 является первым шагом, поскольку CA/Browser Forum начинает добавлять новые методы для обновления проверки доменного имени. В 2019 году мы также можем ожидать добавления телефонных номеров в CAA и DNS TXT, чтобы предоставить больше возможностей для проверки доменов.

Exit mobile version