Дата публикации:Mon, 15 Dec 2025 19:22:30 +0300
Ассоциация CA/Browser Forum, выступающая площадкой для совместного принятия решений с учётом интересов производителей браузеров и удостоверяющих центров, утвердила новые требования к организациям, выдающим сертификаты для HTTPS. В новых требованиях объявлены устаревшими 11 методов проверки владения доменом, для которого выдаётся сертификат. Прекращение поддержки устаревших методов будет производиться поэтапно до марта 2028 года. В качестве причин прекращения поддержки отмечается фокусирование внимания на автоматически выполняемых и криптографически верифицируемых методах проверки.
Устаревшими объявлены методы, связанные с использованием информации из сервиса WHOIS, подтверждением контактных данных при помощи email, телефонных звонков, факсов, SMS или бумажных писем, а также верификацией на основе проверки владения IP-адресом, прописанным для домена в DNS. Предполагается, что прекращение поддержки указанных методов проверки позволит избавиться от лазеек, потенциально позволявших атакующим получить сертификат для домена, который они не контролируют. Например, год назад была продемонстрирована возможность получения TLS-сертификатов для чужих доменов в зоне ".mobi" путём захвата устаревшего WHOIS-сервиса регистратора данной доменной зоны.
Список методов подтверждения владения доменом, объявленных устаревшими:
- Отправка Email, факса, SMS или бумажного письма по контактным данным, указанным для домена в базе WHOIS или в SOA-записи в DNS. Отправка Email, факса, SMS или бумажного письма по контактным данным, указанным для связанного с доменом IP-адреса. Отправка проверочного кода на типовые Email, такие как admin@, administrator@, webmaster@, hostmaster@ и postmaster@. Отправка проверочного кода на Email, указанный в CAA-записи домена в DNS. Отправка проверочного кода на Email, указанный в TXT-записи домена в DNS. Подтверждение телефонным звонком на номер, указанный в качестве контактного для домена. Подтверждение телефонным звонком на номер, указанный в TXT-записи домена в DNS. Подтверждение телефонным звонком на номер, указанный в CAA-записи домена в DNS. Подтверждение телефонным звонком на номер, указанный в качестве контактного для IP-адреса, к которому привязан домен. Проверки на основе подтверждения владения IP-адресом, прописанным для домена в DNS. Проверки на основе обратного резолвинга IP‑адреса.
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=64426