Владельцы доменов могут публиковать номера телефонов в DNS CAA для валидации

CA/B Forum, регулирующий орган индустрии SSL, принял большинством голосов Ballot SC19, согласно которому владельцы доменов теперь могут публиковать номера телефонов в записях DNS CAA, что используется для выполнения валидации.

Правила «Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates» были изменены, о чем мы расскажем далее.

Добавлена секция 3.2.2.4.17
Данный раздел определяет правила телефонной связи при помощи номера, определенного в DNS CAA.

Согласно секции 3.2.2.4.17, удостоверяющий центр может подтвердить контроль заявителя над доменным именем при помощи совершения звонка по номеру, который указан в DNS CAA. Во время одного телефонного звонка могут быть подтверждены несколько доменных имен, если для них был указан один и тот же телефонный номер.

Также валидация доменного имени может быть осуществлена и через голосовую почту – для этого удостоверяющий центр оставляет проверочное случайное значение, которое необходимо будет вернуть удостоверяющему центру для прохождения проверки. Случайное значение должно быть действительно не более 30 дней с момента его создания.

Метод подходит в том числе и для проверки Wildcard-доменов.

Добавлена секция B.1.2.
В приложении описывается свойство CAA contactphone и его синтаксис. Свойство принимает значение телефонного номера. В качестве значения должен использоваться глобальный номер, что определено в секции 5.1.4 RFC 3966. Глобальные номера начинаются с символа «+» и включают в себя код страны. Также номера могут содержать визуальные разделители.

Пример:

$ORIGIN example.com.
CAA 0 contactphone “+1 (555) 123-4567”

www.leaderssl.ru