Новые методы проверки сертификатов SSL
Вы подаете заявку на получение сертификата SSL для проверки домена? Теперь, когда есть возможность подтвердить домен по электронной почте, разместить файл на сервере и использовать DNS TXT, пришло время для еще одного способа — проверки по телефону.
Что это такое и как этот метод должен работать?
Проверка прав домена
Сертификат SSL типа DV выдается для определенного домена или отдельных имен в нем. Необходимым условием выдачи SSL-сертификата является право собственности на защищаемый домен.
При подаче заявки на сертификат DV типа DV центр сертификации должен убедиться, что лицо/учреждение, подающее заявку на него, на самом деле является администратором домена и имеет на это право.
Проверка проводится одним из следующих методов:
Сообщение электронной почты
Центр сертификации отправляет авторизованное сообщение по электронной почте. Электронное письмо отправляется на адрес в домене, для которого должен быть выдан сертификат, например, admin@вашдомен.com.ua
Загрузка файла на сервер
Другой способ подтвердить права домена — разместить на сервере файл с необходимой информацией. Контент и точное место, где он должен быть размещен, предоставляется центром сертификации.
Запись TXT в зоне DNS
Метод заключается в создании записи TXT в файле DNS. Содержание записи предоставляется центром сертификации.
Также разработаны 2 новых метода проверки SSL-сертификатов:
Телефонный контакт
Проверка по телефону. Центр сертификации в отношении процесса регистрации домена сможет проверить данные пользователя в базе данных WHOIS и, таким образом, связываться с ним, чтобы проверить сертификат SSL.
Контактное лицо, включенное в базу данных и назначенное для данного домена, может таким образом подтвердить право на домен. В случае неудачной попытки связаться с CA (пропущенный вызов/отсутствие переадресации/голосовая почта) было предложено еще одно решение. Центр сертификации может оставить сообщение со случайным значением.
Это сообщение действительно в течение 30 дней. Если в течение этого времени Контактное лицо подтвердит подлинность домена, указав такое же случайное значение в ответном сообщении, он подтвердит его подлинность.
Однако этот метод вызывает много опасений в контексте GDPR. Контактные данные, отображаемые в WHOIS, то есть имя и номер телефона, присвоенные домену, считаются частной информацией. WHOIS может отказать в предоставлении таких данных. Тогда проверка домена с помощью этого метода может завершиться ошибкой.
Телефонный контакт с DNS TXT
По сравнению с предыдущим методом с использованием личных данных, этот, похоже, решает проблемы, связанные с GDPR. Контактный номер вводится как запись DNS TXT. Таким образом, номер телефона не привязан к имени человека. При создании новой записи она будет иметь вид «_ номер_проверки-телефона». Запись будет содержать действующий номер телефона, который соответствует требованиям RFC (набор технических и организационных документов, относящихся к компьютерной сети и Интернету). В случае неудачной попытки контакта процедура может следовать ранее описанному методу.
Дальнейшие изменения
Предлагаемые методы проверки сертификатов SSL — это только начало, до конца года планируется еще один способ — по телефону. Это позволит владельцу домена добавить номер телефона в запись CAA, связанную с доменом.
Подтверждение права на домен с помощью голосовой связи — следующий шаг в его реализации.