CA/B Forum обновил методы IP-валидации



CA/B Forum, регулирующий орган SSL-индустрии, принял Ballot SC7, посвященный обновлению методов IP-валидации.

Ранее был принят Ballot 169, который включал в себя удаление метода 11 («Любой другой метод») из секции 3.2.2.4. Вместо него указывались явные методы валидации.

Новый Ballot SC7 предлагает также удалить пункт 4 («Любой другой метод») в 3.2.2.5 и указать вместо него явный список методов IP-валидации.

Планируется, что со временем методы IP-валидации будут обрабатываться так же, как методы валидации доменов.

Список основных изменений в Ballot SC7
Ключевое изменение в Ballot SC7 – полное обновление секции 3.2.2.5 базовых требований (Baseline Requirements).

В частности, в секции приводятся разрешенные процессы и процедуры для валидации владения или управления IP адресом, указанным в сертификате.

Краткий список изменений:

  • Удостоверяющий центр теперь до выпуска сертификата должен убедиться в том, что все IP-адреса, указанные в сертификате, были проверены с использованием одного из допустимых методов, приведенных в подразделах 3.2.2.5.
  • С 31 июля 2019 года удостоверяющие центры должны вести учет того, какой именно метод проверки IP-адреса был использован (с добавлением соответствующей версии базовых требований).
  • Добавлен пункт 3.2.2.5.1 для подтверждения контроля над IP-адресом через токен или случайное значение в файле веб-страницы сайта (в директории /.well-known/pki-validation или в любой другой, зарегистрированной в IANA).
  • Добавлен пункт 3.2.2.5.2 для подтверждения контроля над IP-адресом через email, факс, SMS, бумажное письмо.
  • Добавлен пункт 3.2.2.5.3 для обратного просмотра адресов.
  • Метод 3.2.2.5.4 («Любой другой метод») с 31 июля 2019 не должен использоваться для выполнения проверок.
  • Добавлен метод 3.2.2.5.5 для подтверждения контроля над IP-адресом путем телефонного звонка заявителю (или отправки голосового сообщения).
  • Добавлен метод 3.2.2.5.6 для подтверждения контроля над IP-адресом путем выполнения процедуры ACME “http-01”.
  • Добавлен метод 3.2.2.5.7 для подтверждения контроля над IP-адресом путем выполнения процедуры ACME “tls-alpn-01”.
Полный список изменений базовых требований вы можете найти на GitHub: github.com/dougbeattie/documents/compare/master...dougbeattie:SC14---Phone-validation-updates
Выделенные серверы OVH
Выделенные серверы Hetzner

0 комментариев

Оставить комментарий