源码基地

 找回密码
 马上注册

QQ登录

只需一步,快速开始

新浪微博登陆

只需一步, 快速开始

查看: 11494|回复: 46

CAB论坛调整域名验证方式

[复制链接]

新浪微博达人勋

该用户从未签到

发表于 2018-8-10 08:22 | 显示全部楼层 |阅读模式
2018年8月1日,CAB论坛的基线要求发生了新的变化,对于申请SSL证书的域名验证发生了新的调整。要求证书颁发机构(即CA机构)不再允许使用第3.2.2.4节中的方法#1和#5来验证域名所有权。
$ z) ], q) q! {- a! Z+ a& y7 W  f+ G4 b
第3.2.2.4节中的方法#1:WHOIS查找方法/ ^6 E$ O% [% U- M8 F3 ~1 L( s

4 e; o# C. A  Y; j  F( _ CAB论坛调整域名验证方式-1.jpg
# B' D, {5 s/ P! L9 b! q% C) S7 ~  E7 x5 M  I! E

# k5 p% W& ~! Q
  O; s9 a, e) ?/ f5 u* ?% X* j8 T只需要向域名注册商验证证书申请者的名称和地址与域名联系人一致。8 k' v' t2 A* i* c! ]0 `
; c) v" r" C( H1 ]% ]+ S7 @
第3.2.2.4节中的方法#5:域名授权文件# S3 D# u: k* H- f; o+ e
, D# [1 W7 }$ b* M) Q- q. S& _
通过律师撰写域名授权文件确认申请者对域名拥有控制权。
0 l' O9 P4 H9 p2 x4 {# |/ l* @! X) X3 O9 Z4 R8 h
但是以上两种验证方法都存在漏洞,并不特别安全。如CA无法从第三方数据库中确认申请域名的所有权和控制权;律师是没有资格评估谁拥有域名的控制权。
5 J8 i+ H, j5 Q0 n$ M+ g0 Y$ r! z! n! v
之前,CAB一直希望能删除这两种验证方式。终于在2018年2月Ballot 218获得通过,取消了以上两种域名验证方式。从2018年8月1日起,CA机构将不能继续使用上诉两种方式来进行验证域名。如果仍在继续使用这两种方式来验证域名所有权将被视为错误颁发,当被发现时将被撤销或直接采取不信任的处理。
1 M, k: q9 e- d  c( A
$ C; v8 c! ^6 d6 Q其实,CAB论坛一直在积极对域名验证进行改善。域名验证变化的时间轴:- f2 s( S$ U, D% t5 E" p4 c8 ]+ [( w) h

( P2 d( I0 J5 x. }8 g, Y7 B2015年年初开始,CAB论坛提出对域名验证的安全性提出质疑。
5 h- m" C0 b7 N5 b. u) h0 Z' F) u
( Y1 `$ T  k5 \4 X9 k4 J2 m2016年8月5日,Ballot 169终于通过,删除了“任何其他方法”,并添加了详细的技术步骤,以便通过各种方式验证域的技术控制。
: \5 _# a3 ~* x/ c1 N% G5 ?4 P( @7 o
% x( n3 u% A1 o$ Q! g! n2017年12月,再次对现有的域名验证安全性提出异议,并转化更安全的验证方法,如电子邮件或电话验证。# M) i, M2 `8 w" H: }8 O) R6 ]

: R, c* c0 @: C' q; R2018年2月,Ballot 218获得通过,取消WHOIS查找方法和域名授权文件两种域名验证方式。
6 [2 V  t3 L! n* ~% d% f
/ H8 G: Q& `, F% J而数安时代GDCA作为国内已通过Webtrust国际认证的CA机构,其所有的证书的验证标准均符合国际CAB论坛的基线要求,目前数安时代GDCA验证域名的方式有三种:$ {6 U; p( ^% q% M# G

7 U: p1 ?  W& G  u. l0 V1、File(文件验证), ?6 h+ z6 V9 s
( |5 f, L# I7 V, J+ [/ F+ m0 a* z$ R
证书颁发机构将通过访问特定 URL 地址来验证您是否拥有该域名的控制权。因此,您需要下载给定的验证文件,并上传到服务器,并保证通过该URL能够正常访问(注意,不可使用301跳转)。
1 R4 t: y( C" u& a6 Z7 {9 B. V# H, S8 _% l3 T1 u
2、Email(邮箱验证)
6 A1 \) D! c3 i0 r5 h  Y8 U# U- e' l: y% ]& t' Z7 w9 H7 \
证书颁发机构将搜索该域名的Whois信息,获取域名注册者或管理者的Email,通过验证Email的控制权,来证明您拥有该域名的所有权。
7 U1 J# k; H% N# \9 d# e  J- w$ z, W, N+ s
3、DNS(DNS验证)8 G! p7 Y  E2 s1 x

" |+ j  \1 T" Z# K& xGDCA 将通过查询 DNS 的 TXT 记录来确定您对该域名的所有权。) j& s  H* C- _  T# o5 M% f0 Y
8 @' z/ X& r2 p, k: J3 t1 u& X
SSL证书是HTTP明文协议升级HTTPS加密协议的重要渠道,是网络安全传输的加密通道。而申请SSL证书必须要向符合国际标准的CA机构申请。数安时代GDCA致力于网络信息安全,已通过WebTrust 的国际认证,是全球可信任的证书签发机构。数安时代GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议,并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。" b0 o) q7 a  z, q

( u) s; d: e5 w3 c6 U8 M文章转载https://www.trustauth.cn/news/security-news/26139.html


回复 天涯海角搜一下: 百度 谷歌 360 搜狗 搜搜 有道 奇虎 雅虎 必应 即刻

使用道具 举报

新浪微博达人勋

  • TA的每日心情
    慵懒
    2018-8-4 09:10
  • 签到天数: 4 天

    [LV.2]偶尔看看I

    发表于 2018-8-10 08:40 来自手机 | 显示全部楼层
    路过
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2018-8-10 08:40 | 显示全部楼层
    域名抢注平台www.ymjd.cn
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2018-8-10 08:40 | 显示全部楼层
    我抢、我抢、我抢沙发~
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2018-8-10 10:50 | 显示全部楼层
    域名抢注平台www.ymjd.cn
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2018-8-10 12:34 | 显示全部楼层
    支持,赞一个
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2018-8-10 15:39 | 显示全部楼层
    我擦!我要沙发!
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2018-8-10 18:42 | 显示全部楼层
    ……
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2018-8-10 19:04 | 显示全部楼层
    一直在看
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2018-8-10 20:21 | 显示全部楼层
    广告位,,坐下看看
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 马上注册 新浪微博登陆

    本版积分规则

    关闭

    站长推荐上一条 /6 下一条

    Archiver|VIP商业源码|企业网站源码|建站之星模板|DEDE模板|新闻中心|源码基地 ( 黔ICP备11002644号 )|网站地图

    GMT+8, 2018-8-16 14:39 , Processed in 0.296875 second(s), 30 queries , Gzip On, File On.

    Powered by Discuz! X3.4

    © 2001-2017 Comsenz Inc.

    快速回复 返回顶部 返回列表