Новые методы проверки сертификатов SSL

Вы подаете заявку на получение сертификата SSL для проверки домена? Теперь, когда есть возможность подтвердить домен по электронной почте, разместить файл на сервере и использовать DNS TXT, пришло время для еще одного способа — проверки по телефону.

Что это такое и как этот метод должен работать?

Проверка прав домена

Сертификат SSL типа DV выдается для определенного домена или отдельных имен в нем. Необходимым условием выдачи SSL-сертификата является право собственности на защищаемый домен.

При подаче заявки на сертификат DV типа DV центр сертификации должен убедиться, что лицо/учреждение, подающее заявку на него, на самом деле является администратором домена и имеет на это право.

Проверка проводится одним из следующих методов:

Сообщение электронной почты

Центр сертификации отправляет авторизованное сообщение по электронной почте. Электронное письмо отправляется на адрес в домене, для которого должен быть выдан сертификат, например, admin@вашдомен.com.ua

Загрузка файла на сервер

Другой способ подтвердить права домена — разместить на сервере файл с необходимой информацией. Контент и точное место, где он должен быть размещен, предоставляется центром сертификации.

Запись TXT в зоне DNS

Метод заключается в создании записи TXT в файле DNS. Содержание записи предоставляется центром сертификации.

Также разработаны 2 новых метода проверки SSL-сертификатов:

Телефонный контакт

Проверка по телефону. Центр сертификации в отношении процесса регистрации домена сможет проверить данные пользователя в базе данных WHOIS и, таким образом, связываться с ним, чтобы проверить сертификат SSL.

Контактное лицо, включенное в базу данных и назначенное для данного домена, может таким образом подтвердить право на домен. В случае неудачной попытки связаться с CA (пропущенный вызов/отсутствие переадресации/голосовая почта) было предложено еще одно решение. Центр сертификации может оставить сообщение со случайным значением.

Это сообщение действительно в течение 30 дней. Если в течение этого времени Контактное лицо подтвердит подлинность домена, указав такое же случайное значение в ответном сообщении, он подтвердит его подлинность.

Однако этот метод вызывает много опасений в контексте GDPR. Контактные данные, отображаемые в WHOIS, то есть имя и номер телефона, присвоенные домену, считаются частной информацией. WHOIS может отказать в предоставлении таких данных. Тогда проверка домена с помощью этого метода может завершиться ошибкой.

Телефонный контакт с DNS TXT

По сравнению с предыдущим методом с использованием личных данных, этот, похоже, решает проблемы, связанные с GDPR. Контактный номер вводится как запись DNS TXT. Таким образом, номер телефона не привязан к имени человека. При создании новой записи она будет иметь вид «_ номер_проверки-телефона». Запись будет содержать действующий номер телефона, который соответствует требованиям RFC (набор технических и организационных документов, относящихся к компьютерной сети и Интернету). В случае неудачной попытки контакта процедура может следовать ранее описанному методу.

Дальнейшие изменения

Предлагаемые методы проверки сертификатов SSL — это только начало, до конца года планируется еще один способ — по телефону. Это позволит владельцу домена добавить номер телефона в запись CAA, связанную с доменом.

Подтверждение права на домен с помощью голосовой связи — следующий шаг в его реализации.