CA/B Forum утвердил новый метод проверки контроля над доменом с помощью расширения ALPN

CA/B Forum, регулирующий орган в индустрии SSL, принял большинством голосом новое предложение Ballot SC33.

Как следует из предложения, метод проверки прав владения доменом 3.2.2.4.10 (с помощью случайных чисел) теперь считается устаревшим. Вместо него вводится новый пункт 3.2.2.4.20, позволяющий проверять права владения FQDN (полным именем домена) с помощью расширения ALPN.

Причины соответствующих изменений
В январе 2018 года в методе валидации доменов ACME TLS-SNI-01 была обнаружена уязвимость. Именно этот метод использовался как основной для выполнения пункта 3.2.2.4.10 и применялся даже несмотря на имеющиеся проблемы. Метод ALPN является альтернативой проверке с помощью ACME TLS-SNI-01; он был стандартизирован IETF как RFC 8737. По этой причине CA/B Forum решил отказаться от недостаточно прозрачного, потенциально небезопасного метода 3.2.2.4.10 в пользу нового метода 3.2.2.4.20.

В предложении отсутствуют какие-либо сведения о переходном периоде, заданном для метода проверки 3.2.2.4.10. Все предыдущие проверки, выполненные с помощью данного метода, а также валидационные данные, полученные с его помощью, не должны использоваться для выпуска сертификатов.

Данное предложение также ограничивает использование прошедших проверку старым способом FQDN — для разных поддоменов требуются новые проверки, а проверки wildcard недопустимы.