博客 > CAB论坛取消两种域名验证方式
浏览量:3737次评论:0次
作者:Claire时间:2019-09-06 05:41:53
截止2018年8月1日,当证书机构(CA)在网络上签发供使用的、公众可信任的证书时,将不再被允许使用基线要求第3.2.2.4节中的方式1和方式5来验证域名的所有权。继续使用这些方式将会被认为是错误签发,当发现了这两种情况后,短时间内证书可能会被撤销或不再受信任。
方式1只要求将域名所有者的名称和地址与申请人的进行比较,并且也包括大量的漏洞,比如允许认证证书和使用不是为此目的的第三方数据库。方式5允许律师开具证明,声明域名的所有权,而律师通常是没有资格对域名进行评估的。这两种方式都不是太安全,因此各方都在致力于将它们去除掉,从而提高验证标准。为了帮助理解为什么这对互联网的安全来说是一个重要的里程碑,了解一下背景历史是很有帮助的。
在可以为特定的域名签发证书之前,CA必须首先验证申请该证书的人事实上拥有或控制着这个域名。从历史上来说,围绕这一流程机制的要求是相当模糊和不宽松的。更糟糕的是,CA还可以使用“任何其他的方式”来验证对域名的控制权,只要它们能够证明其他方式与上述方式同样安全。这使得CA机构在验证证书方面有很大的发挥空间。
2015年春天,不同的CA和浏览器开始达成合作,致力于改进域名验证的验证要求,而且到现在它们还在不断努力。它们所进行的第一项工作是强化现有的验证方式,并移除“任何其他方式”的漏洞。在大约18个月的时间中,这些CA和浏览器便增加了更多有关如何执行验证的明确的要求,以便保证申请人确实拥有或控制着域名。讨论主要集中在通过电子邮件、手机或直接访问网站改进对域名的技术控制的展示方式。不幸的是,较老的、不太严格的方式,如方式1和5,没有得到太多的讨论和关注,因而没有进行太大的改变。
2016年8月5日,169号(修改验证要求)投票最终通过,删除了“任何其他方式”,并添加了有关如何通过各种方式对域名的控制权进行验证的详细的技术步骤。人们希望,至少有一种方式对潜在客户是可行的。然而,部分CA选择不执行这些技术方式,并继续使用较老的、拥有较不严格安全属性的验证方式。
2017年12月,人们再次对使用这些方式进行验证的质量表示了担忧,并提出了一些漏洞;若要通过错误的方式获取数字证书,这些漏洞可能会被利用。其他人则反对这一努力,并主张维持现状,尽管这些方式存在明显的缺陷。关于改进方式的潜在方法人们进行了长时间的讨论,但最终,这样的努力总是以把这种方式变成另一种更安全的方式而告终,如电子邮件或电话验证。
今年2月5日,CA/浏览器论坛(CAB论坛)的218号投票最终通过,删除了这两种方式,并且确定生效日期为2018年8月1日。未来,所有签发数字证书的CA,如果没有通过批准的方式对域名的控制进行验证,那么将会被认为是错误签发。证书持有者应当询问他们的CA机构,其证书所采用的具体的验证方式,并确保它仍旧是经过批准的验证方式。如果证书没有通过使用经过批准的方式进行验证,那么它最终将会被发现,并且在短时间内将被撤销或不受信任。
改变是困难的,但在安全方面,有必要走在不断发展的威胁的面前。各CA和浏览器将继续努力提高验证方式的严密性,而且,这些努力还遇到了一些人的阻碍,这些人主张仍旧采用相同的方式来签发证书。尽管如此,这项重要的工作仍在继续。
今年春天,由Mozilla牵头并得到部分CA大力支持的CAB论坛,成功地举行了为期一天的验证峰会。峰会上,每一种方式都经过了检验,并提出了新的改进方案。此外,CAB论坛验证工作小组将很快提出一项新的投票,以便让相关机构和组织围绕通过电话加强验证规则进行表决。
相关文章推荐
2024-04-19 13:50:38
2024-04-18 14:47:24
2024-04-17 13:51:49
2024-04-15 16:29:54
2024-04-15 11:51:46
热门工具
标签选择
阅读排行
官方咨询热线:400-002-9968
官方邮箱:business@racent.com
地址:上海市静安区灵石路718号大宁中心广场3期B1栋南楼502室
商务合作:business@racent.com
投诉意见:media@racent.com
关于锐成
联系我们
我的评论
还未登录?点击登录