CA/B Forum, регулятор индустрии SSL-сертификатов, принял новые изменения, касающиеся методов телефонной валидации.
Предложение Ballot SC14 устраняет некоторые потенциальные риски безопасности, связанные с методом 3 (3.2.2.4.3) базовых требований (Baseline Requirements). В частности, Ballot SC14 предлагает ужесточить телефонную валидацию, чтобы убедиться, что авторизация или управление доменом осуществляется персоной, уполномоченной это делать.
Валидация, выполненная в рамках метода 3, будет оставаться действительной до конца заданного периода сертификата, однако все новые проверки должны будут использовать обновленный метод.
Ballot SC14 основан на предложении Ballot SC13, которое позволяет владельцам доменов публиковать номера телефонов для валидации доменов в TXT-записях DNS. Поскольку эти телефонные номера специально предназначены для валидации доменов, переход на другой номер не допускается.
Изменения, предлагаемые в Ballot SC14
Ballot SC14 вносит следующие изменения в базовые требования (Baseline Requirements) по выпуску публичных сертификатов.
В секцию 1.6.1 вносится следующее дополнение:
«Телефонный номер в DNS TXT-записи: телефонный номер, определенный в секции B.2.2»
В секции 3.2.2.4.3 после второго абзаца добавляется следующий абзац: «удостоверяющий центр не должен выполнять валидацию с помощью данного метода после 31 мая 2019. Уже выполненные валидации с помощью данного метода будут оставаться действительными вплоть до последующего продления сертификата».
Вместо секции 3.2.2.4.3 в документ Baseline Requirements добавляются две новых секции: 3.2.2.4.15 и 3.2.2.4.16.
Секция 3.2.2.4.15 посвящена телефонному контакту с владельцем домена. В частности, в этом разделе говорится о подтверждении контроля домена с помощью телефонного звонка. Один телефонный звонок может подтверждать контроль нескольких доменов, если один и тот же телефонный номер приведен для каждого доменного имени, и был получен утвердительный ответ по поводу владения доменом.
Удостоверяющий центр может оставить случайное значение в голосовом сообщении для проверки заявителя. Это значение должно быть передано удостоверяющему центру для подтверждения запроса. Случайное значение будет оставаться действительным в течение максимум 30 дней с момента его создания. Удостоверяющие центры могут задавать более короткий период валидности для таких случайных значений.
Секция 3.2.2.4.16 устанавливает правила для телефонной связи через DNS TXT-запись. В данном случае контроль владения доменом проверяется путем звонка на номер, указанный в DNS TXT-записи. Как только будет получен подтверждающий ответ, полное доменное имя будет проверено. Правила проверки (по звонкам и голосовым сообщениям) здесь аналогичны секции 3.2.2.4.15.
Также добавляется аппендикс B.2.2. В нем отмечены правила задания DNS TXT-записи:
DNS TXT-запись должна быть размещена на поддомене «_validation-contactphone» того домена, который необходимо проверить. Полное значение RDATA этой TXT-записи должно представлять собой валидный глобальный номер, как определено в секции 5.1.4 RFC 3966. В противном случае его нельзя будет использовать.