Форумът CA / B одобрява нов метод за проверка на управление на домейни, използващи разширение ALPN

Форумът CA / B, индустриалният регулатор на SSL, прие нов избор за SC33 с мнозинство.

Както предполага предложението, методът за проверка на собствеността върху домейни в 3.2.2.4.10 (чрез използване на случайни цифри) сега е отхвърлен. Вместо това се въвежда нова клауза 3.2.2.4.20, която ви позволява да проверите собствеността върху FQDN чрез използване на разширение ALPN.

Причини за промените

През януари 2018 беше намерена уязвимост в метода на проверка на ACME TLS-SNI-01. Този метод беше използван като основен за прилагането на алинея 3.2.2.4.10 и беше приложен въпреки съществуващите проблеми. ALPN е алтернатива за проверка на ACME TLS-SNI-01; той беше стандартизиран от IETF като RFC 8737. Поради тази причина форумът CA / B реши да изостави потенциално несигурния метод 3.2.2.4.10 в полза на новия метод 3.2.2.4.20.

В предложението липсват подробни данни за периода на преход, указан за метода на проверка 3.2.2.4.10. Всички предишни проверки, осъществени чрез използване на този метод, както и данните за проверка, придобити чрез неговото използване, не трябва да бъдат използвани за издаване на сертификати.

Това предложение ограничава също използването на стари проверени FQDN – за различните поддомейни се изискват нови проверки и не са позволени проверки на заместващи символи.

Абонирайте се за нашия бюлетин, както и за нашите групи в социалните мрежи, за да бъдете в крак с новините от света на SSL!