SSL证书:CAB论坛禁止WHOIS和法律意见书验证域名

CAB论坛禁止WHOIS和法律意见书验证域名

2018-09-13
[摘要]8 月 1 日,管理数字证书颁发的基线要求的几项新变更生效。 证书颁发机构不再允许使用第 3.2.2.4 节中的方法# 1 和# 5 来验证域所有权。 或者,按照非专业人员的条款, CA 将不再仅

        81日,管理数字证书颁发的基线要求的几项新变更生效。 证书颁发机构不再允许使用第3.2.2.4节中的方法#1和#5来验证域所有权。 或者,按照非专业人员的条款,CA将不再仅仅依靠WHOIS查询和法律意见书来验证域名的所有权。
        证书颁发机构/浏览器论坛或CAB论坛是数字证书行业事实上的监管机构。 论坛由主管证书颁发机构和主要浏览器组成,负责确定管理证书颁发的基准要求。
        自2015年春季以来,CAB论坛一直在积极致力于改进域验证。正如DigiCertTim Hollebeek所说:
        关于[域验证]如何完成的机制的要求向来非常模糊和松散。 更糟糕的是,CA被允许使用任何其他方法来验证对域名的控制,只要他们认为它至少与列出的方法之一一样安全。 这为CA提供了大量空间,可以在验证证书时偷工减料。
        因此,201685日,Ballot 169获得通过。它正式删除了基线要求的任何其他方法部分。希望当时添加的一些新技术步骤将由CA使用,从而确保更强的验证,但大多数CA选择不实施这些新方法,而是继续使用旧方法。
        作为回应,在201712月,CAB论坛再次着手加强域名验证,这次是通过取消一对被认为不安全的旧验证方法。
        2月,Ballot 218获得通过。该选票有效地消除了两种域验证方法:方法#1WHOIS查找和方法#5,法律意见书。修改了这两种方法,使其自201881日起不再可供证书颁发机构使用。
       继续仅使用WHOIS查询或法律意见来验证域名所有权将被视为误发,并且在发现时将被撤销和/或不信任。
       坦率地说,这些变化不应该成为大多数CA的主要问题。由于GDPRWHOIS查询已经受到质疑。目前,ICANN和域名注册商行业正在努力解决如何编辑WHOIS,以及它是否应该公开。 CAB论坛没有等待修复,而是在没有WHOIS和方法#1的类似查找的情况下继续前进,这也允许将从未用于域验证的证明信和第三方数据库放到首位。
       同样,在针对Ballot 218的辩论中,很少有证据表明CA甚至使用方法#5,即允许律师和会计师写出声明给定域名所有权的信件。 CAB论坛认为这是一个他们没什么资格评估的主题。
       值得注意的是,法律意见书对于其他类型的验证仍然有用,特别是因为它与组织和扩展验证SSL证书有关,但作为验证域所有权的手段,已不再允许使用法律意见书。
       仍有许多方法可用于验证证书颁发机构的域所有权:
       目前,CAB论坛正在开展工作,以编制CA要求发布证书详细信息中使用的验证方法的要求。有望通过修正这些最常用的验证方法,以降低误签发的几率。
 


https证书行业资讯
代码签名入门

代码签名证书简介及其许多好处 今天,几乎所有东西都是电脑。...

最常见的开源协议

对最常见的开源协议做下总结分享 Mozilla Public License MPLLicense,允...

谷歌将在2018年9月取消“安全”标识

最后甚至会从Chrome的UI中取消挂锁图标。。。 谷歌爸爸在上周四...

常见的SSL错误解决办法

常见的 SSL 错误解决办法 为了保障用户的隐私信息安全,减少信...

Cisco VPN套件中过期的SSL证书将破坏网络配置

任何运行思科支持的虚拟专用网络(VPN)的人都可能需要安装更...

API测试是什么

什么是API API是Application Programming Interface的简写。 实现了两个或...

PFS概览

PFS概览 众所周知,若服务器的私钥泄漏,任何可以访问私钥的人...

手把手Docker java web 应用helloword(四)

从昨天跟大家分享金网科技原创手把手Docker java web 应用hellowor...

Chrome 66 Beta即将上线 你的赛门铁克SSL证书可能会

Google Chrome 66 Beta将于3月15日,即本周四发布。 虽然谷歌和赛门铁...

使用Elasticsearch、Logstash和Kibana管理日志

​ 全面的日志管理和分析策略是关键任务,使组织能够理解运营...