Изменится проверка домена у Wildcard сертификатов
Проверка владения доменом через загрузку файла .txt в директорию на сервере ( HTTP / HTTPS ) с ноября 2021 года будет недоступна, останется возможность только подтверждения через CNAME запись в DNS или через административный адрес электронной почты на домене.
Бюллетень SC 45 по проверке доменов с Wildcard сертификатами, внесены изменения в проверку владения доменом (DCV). Он обновляет требования, касающиеся того, как центры сертификации могут проверять ваши домены и поддомены, при выдаче SSL-сертификатов Wildcard. С ноября вы не сможете использовать файловую аутентификацию для сертификатов с защитой поддоменов. Вместо этого вам потребуется использовать DNS или аутентификацию на основе электронной почты.
Это изменение было создано в ответ на опасения, что проверка управления на основе основного хоста не является достаточно надежным способом продемонстрировать, что кто-то контролирует все пространство имен домена. Он получил единодушную поддержку членов CA / B Forum, поскольку повышает безопасность поддоменов.
Но что именно это изменение влечет за собой для клиентов Wildcard сертификатов и мультидоменных wildcard сертификатов?
Допустим, вы контролируете индивидуальное полное доменное имя domain.com. Это не означает автоматически, что вы также контролируете другие области пространства имен своего домена (например, поддомены login.domain.com или basket.domain.com). Кто-то из злоумышленников может проверить домены, которые они используют для фишинговых кампаний и других кибератак.
Итак, что это означает, если вы используете проверку HTTP/HTTPS для доменов без wildcard? Вам нужно будет проверить каждое полное доменное имя или домен альтернативного имени (SAN), который вы хотите охватить. Другими словами, использование файлового метода для проверки domain.com больше не будет проверять поддомены в том же корне (* .domain.com, sub.domain.com и т. д.).
Бюллетень SC45 применяется к разделам проверки управления доменом Базовых требований CA / B Forum, перечисленных в таблице ниже:
(Примечание: бюллетень был основан на версии 1.7.4, а документ BR теперь обновлен до версии 1.7.9).
Возможно, кто-то может контролировать, где размещается domain.com, но не быть авторизованным администратором сервера, на котором размещен какой-либо из поддоменов. Однако похоже, что это скорее теоретическая проблема, чем широко распространенная проблема реального мира.
Изменения DCV как для DigiCert, так и для Sectigo вступают в силу в понедельник, 15 ноября 2021 г. Это означает, что любые сертификаты, выданные до 14 ноября, по-прежнему будут работать, как и всегда, с точки зрения методов DCV. Однако с 15 ноября:
Бюллетень SC 45 по проверке доменов с Wildcard сертификатами, внесены изменения в проверку владения доменом (DCV). Он обновляет требования, касающиеся того, как центры сертификации могут проверять ваши домены и поддомены, при выдаче SSL-сертификатов Wildcard. С ноября вы не сможете использовать файловую аутентификацию для сертификатов с защитой поддоменов. Вместо этого вам потребуется использовать DNS или аутентификацию на основе электронной почты.
Это изменение было создано в ответ на опасения, что проверка управления на основе основного хоста не является достаточно надежным способом продемонстрировать, что кто-то контролирует все пространство имен домена. Он получил единодушную поддержку членов CA / B Forum, поскольку повышает безопасность поддоменов.
Но что именно это изменение влечет за собой для клиентов Wildcard сертификатов и мультидоменных wildcard сертификатов?
Во-первых, краткое описание методов проверки управления доменом
Каждый раз, когда вы запрашиваете цифровой сертификат для защиты веб-сайта, вам необходимо доказать, что вы действительно контролируете этот домен. Проверка управления доменом (DCV) - важная часть процесса запроса и выпуска сертификата. Традиционно для выполнения этой задачи вы могли выбрать один из трех методов. Вот краткий обзор трех типов (перечисленных в произвольном порядке):- Проверка на основе электронной почты (проверка EMAIL) - этот метод проверки домена является самым простым и быстрым. Сам процесс включает в себя получение письма от центра сертификации на административную почту домена (admin@yourdomain.com) или почту указанную в записи WHOIS вашего домена (например, email@yourdomain.com).
- Проверка на основе файла .txt (проверка HTTP / HTTPS). Этот метод проверки домена требует, чтобы вы загрузили текстовый файл в определенную директорию веб-сервера вашего домена. Файл должен содержать определенную информацию, которую CA автоматически генерирует, после проверки роботом системы вы сможете доказать, что вы контролируете домен(ы), которые должн(ы) охватывать Wildcard SSL-сертификат или любой другой тип сертификата.
- Проверка на основе DNS (проверка CNAME). Этот метод предполагает, что кандидат создает уникальную запись CNAME в своей системе доменных имен (DNS) для подтверждения контроля над доменом. Например, Sectigo любит требовать от своих запрашивающих сертификатов, чтобы их записи CNAME указывали на сайт Sectigo.
Бюллетень для голосования на форуме CA / B SC 45 изменяет правила проверки для wildcard
В бюллетене SC45 форума CA / B, который вступает в силу 1 декабря 2021 г., указывается, что проверка доменов на основе файла (проверка HTTP / HTTPS) для сертификатов Wildcard больше не будет использоваться. Он считается недостаточно обширным методом, поскольку этот метод проверки обеспечивает контроль только над хостом и службой, а не над пространством имен домена в целом. Голосование получило широкую поддержку и прошло единогласно: за него проголосовали 22 сертификационных центра и пять групп производителей сертификатов.Допустим, вы контролируете индивидуальное полное доменное имя domain.com. Это не означает автоматически, что вы также контролируете другие области пространства имен своего домена (например, поддомены login.domain.com или basket.domain.com). Кто-то из злоумышленников может проверить домены, которые они используют для фишинговых кампаний и других кибератак.
Итак, что это означает, если вы используете проверку HTTP/HTTPS для доменов без wildcard? Вам нужно будет проверить каждое полное доменное имя или домен альтернативного имени (SAN), который вы хотите охватить. Другими словами, использование файлового метода для проверки domain.com больше не будет проверять поддомены в том же корне (* .domain.com, sub.domain.com и т. д.).
Бюллетень SC45 применяется к разделам проверки управления доменом Базовых требований CA / B Forum, перечисленных в таблице ниже:
| Раздел базовых требований | Краткое описание того, что влечет за собой этот раздел | Изменения на основании бюллетеня SC 45 |
| 3.2.2.4.6 - Согласованное изменение веб-сайта | В этом разделе базовых требований обсуждается повторное использование информации из прошлых проверок метода HTTP / HTTPS для подтверждения управления доменом. | Поскольку SC 42 прошел, в этот раздел не было внесено никаких изменений, поскольку он уже предотвращает повторное использование прошлых проверок или новых сертификатов после 30 июня 2021 года. |
| 3.2.2.4.18 - Согласованное изменение веб-сайта v2 | Этот раздел относится к ответам с кодом состояния HTTP, которые CA должен получить через проверку домена на основе файлов, которая включает проверку токенов запроса или случайных значений в указанном файле. | Начиная с 1 декабря 2021 г., центры сертификации должны отдельно проверять «другие полные доменные имена, заканчивающиеся всеми метками подтвержденного полного доменного имени» с использованием отдельного метода DCV перед выдачей для них сертификатов. Имена доменов с подстановочными знаками не могут быть проверены с помощью этого метода ни в дату вступления в силу, ни после нее. |
| 3.2.2.4.19 - Согласованное изменение веб-сайта - ACME | В этом разделе базовых требований описаны проверки управления доменом, в которых используется метод ACME HTTP Challenge, описанный в RFC 8555, раздел 8.3. | Те же изменения, которые мы описали выше для базового требования 3.2.2.4.18, применяются здесь для BR 3.2.2.4.19. |
(Примечание: бюллетень был основан на версии 1.7.4, а документ BR теперь обновлен до версии 1.7.9).
Почему необходимо исключение проверки HTTP для wildcard доменов
Все это может заставить вас задуматься, нужно ли избавляться от этого метода проверки домена. Согласно обсуждению на GitHub форума CA / B по Ballot SC45, цель здесь - дать понять, что использование метода HTTP / HTTPS для проверки одного домена демонстрирует контроль над одним доменным именем. Этот метод проверки не подтверждает контроль над всем пространством имен FQDN в целом (то есть всеми доменами и субдоменами, которые существуют в этом пространстве имен).Возможно, кто-то может контролировать, где размещается domain.com, но не быть авторизованным администратором сервера, на котором размещен какой-либо из поддоменов. Однако похоже, что это скорее теоретическая проблема, чем широко распространенная проблема реального мира.
DigiCert и Sectigo внесут изменения в DCV с опережением графика 15 ноября 2021 г.
Хотя голосование не должно вступить в силу до 1 декабря 2021 года, два ведущих сертификационных органа (DigiCert и Sectigo) по отдельности объявили, что они индивидуально вносят изменения в валидацию на пару недель раньше. Почему? Чтобы убедиться, что все работает так, как должно, и что нет никаких непредвиденных проблем, которые могут возникнуть в последнюю минуту.Изменения DCV как для DigiCert, так и для Sectigo вступают в силу в понедельник, 15 ноября 2021 г. Это означает, что любые сертификаты, выданные до 14 ноября, по-прежнему будут работать, как и всегда, с точки зрения методов DCV. Однако с 15 ноября:
- проверка на основе файлов больше не будет вариантом для сертификатов с защитой поддоменов, и
- мультидоменные сертификаты потребуют отдельной проверки для каждого FQSN / SAN при использовании метода проверки на основе файлов.
| Сертификат и покрытие домена | Валидация до 15 ноября | Валидация после 15 ноября |
| Сертификат на wildcard *.domain.com | Позволяет использовать любой из трех методов проверки, включая проверку на основе файлов. | Требуется использование метода проверки домена на основе DNS или электронной почты. |
| Сертификат с SAN для domain.com и email.domain.com | Позволяет использовать любой из трех методов проверки, включая проверку на основе файлов. | Требуется использование проверки на основе DNS или электронной почты или полной проверки на основе файлов для каждого домена SAN индивидуально |