SSL证书、代码签名证书、文档签名、WHQL 认证服务提供商

CAB论坛禁止WHOIS关于域名验证的法律意见

2018-08-14, 发表于【业界时事】

CAB论坛禁止WHOIS关于域名验证的法律意见书

有关基本要求的两次更新将加强域名验证

8月1日,CAB论坛对签发数字证书的基本要求进行了几项新的修改。关于域名验证的所有权,认证单位(颁发机构)从 3.2.2.4部分开始,不允许继续使用方法1和方法5。换句话说,也就是验证单位不允许继续使用WHOIS查询和法律意见书来验证域名的所有权。

为了便于对其中的细节展开说明,需要从CAB论坛顶部开始,快速浏览一遍,然后再进入实际的修改内容。

CAB论坛实际上是数字证书行业监管机构CAB由证书认证单位和主要浏览器组成论坛负责确定颁发证书的基要求。

 

CAB论坛自2015年春季以来一直积较致力于改进域名验证DigiCert的Tim Hollebeek曾经说:

从往至今,围绕如何完成[域名验证]的机制的相当模糊和松散更糟糕的是,只要认定单位(颁发机构)保证域名至少和使用方法之一一样是安全的,他们就可以使用各种方法来验证对域名的控制。这就让认证单位(颁发机构)在证书验证方面钻了空子走捷径。

2016年8月5日,出台了Ballot 169它正式取消了关于可以使用“各种方法”的基本要求,且希望当时加入的一些新的技术步骤能够被中央情报局使用,从而确保更强的验证实力。但是大多数认证单位(颁发机构)没有选用这些新方法,而是继续使用旧的方法。

为了强化管理,2017年12月,CAB论坛再次开始加强域名验证,这一次取消了两种被认为不安全的旧验证方法。

2月,出台了Ballot 218 。这次投票有效地取消了两种域名验证方法:方法一WHOIS 查询和方法五法律意见书;且对这两种方法都进行了修改,确保认定单位(颁发机构)2018年8月1日起不能再继续使用。继续使用whois查询和法律意见书来验证域名所有权的将会被认为是错误发布而被撤销或者是不信任发现。

坦率地说,这些变化对大多数认定单位(颁发机构来说不是主要的问题。由于GDPR的缘故,WHOIS的查询已经受到了质疑。目前,ICANN和域名注册行业正在努力研究如何有效编辑WHOIS,以及它是否应该公开。与其等待修复,CAB论坛在没有WHOIS和类似的查询方法1的作用下也取得了进展,它认可了从一开始就没有打算用于域名验证的认证信件和第三方数据库。

同样的,讨论焦点转向Ballot 218几乎没有证据表明认证单位(颁发机构)从往至今一直在使用方法5允许律师和会计师写声明强调某一领域的所有权。CAB论坛认为他们没有特权资格去进行声明评价。

值得注意的是,法律意见书对于其他类型的验证仍然是有用的。具体而言,因为它与组织和扩展验证SSL证书有关。但作为核实域名所有权的一种手段,法律意见书已不再适用。

哪些方法仍然可以用于验证域名的所有权?

问的好!仍然有许多方法可用于验证认证单位(颁发机构)的域名所有权。要想获得完整的思路,就需要充分了解基本要求。相比较钻研63页的法律术语而言,这里有一个简短的版本:

Method #2 – A CA可以通过电子邮件、传真、SMS或蜗牛邮件发送一个随机值,然后使用随机值接收、确认、响应来确认域名所有权。

Method #3 – A CA 可以通过拨打注册人的电话号码并获得确认申请者的验证请求的响应来确认域名所有权。

Method #4 –A CA可以通过向下列一个或多个预先批准的地址发送电子邮件来确认域名所有权:

    • Admin@Domain
    • Administrator@Domain
    • Webmaster@Domain
    • Hostmaster@Domain
    • Postmaster@Domain

Method #6 – A CA 可以通过确认网站的商定变更来确认域名所有权.

Method #7 – A CA 可以通过确认网站的DNS CNAME、TXT或CAA记录中的随机值来确认域名所有权。

Method #8 – A CA可以通过确认申请者控制IP地址来确认域名所有权。

Method #9 – A CA 可以通过确认网站上是否存在未过期的测试证书来确认域名所有权。

Method #10 – A CA 可以通过确认该域名的证书中是否存在随机值来确认域名所有权,CA可以通过授权端口通过TLS访问该值。

目前,CAB论坛正在进行工作,对CA发布证书详细信息使用的验证方法的要求进行编码。论坛希望,这将确定常用的验证方法,同时也有助于发现错误问题。