La validación basada en archivos para certificados Wildcard desaparece

Alexis 04/09/2021
la validación basada en archivos para certificados wildcard desaparece nodored hosting dominios web

¿Es la validación del control de dominio HTTP / HTTPS tu método preferido para validar Certificados SSL Wildcard ? A partir de noviembre, deberás utilizar la validación de DNS o de correo electrónico para los Certificados SSL Wildcard

Si sigues el CA/Browser Forum es probable que al menos hayas escuchado sobre algunos de los cambios que se están produciendo este año. La Ballot SC 45, también conocida como Wildcard Domain Validation ballot, es el último cambio de validación de control de dominio (DCV) que ha salido del CA/Browser Forum. Este cambia los requisitos relacionados con la forma en que las CA pueden validar tus dominios y subdominios al emitir certificados SSL Wildcard para tus sitios. A partir de noviembre, no podrás utilizar la autenticación basada en archivos para Certificados Wildcard. En su lugar, deberás utilizar DNS o autenticación basada en correo electrónico.

El cambio se creó en respuesta a la preocupación de que la validación del control basado en el host no es una forma lo suficientemente sólida para demostrar que alguien tiene control sobre todo el espacio de nombres de un dominio. Recibió el apoyo unánime de los miembros del CA/Browser Forum porque mejora la seguridad de los subdominios.

Pero, ¿qué implica exactamente este cambio para los usuarios de certificados Wildcard y Multidominio? ¿Y qué significa todo esto para la validación de dominios sin el uso de lo que se considera un método de validación popular?

Primero, hagamos un repaso rápido sobre los métodos de validación de dominio

Siempre que solicitas un certificado digital para proteger un dominio, debes demostrar que realmente controlas ese dominio. La validación de control de dominio (DCV) es una parte importante del proceso de solicitud y emisión de certificados. Tradicionalmente, ha habido tres métodos entre los que puedes elegir para realizar esta tarea. A continuación una descripción general y rápida de los tres tipos (enumerados sin ningún orden en particular):

  • Validación basada en correo electrónico: este método de validación de dominio es el más fácil. Implica que recibas un correo electrónico enviado a una cuenta especifica predeterminada por la CA y actúes en consecuencia (como ad***@tu*******.com ).
  • Validación basada en archivos (validación HTTP / HTTPS): este método de validación de dominio requiere que subas un archivo de texto a un directorio específico del servidor web de tu dominio. El archivo debe contener información específica que la CA te indique para demostrar que controlas los dominios que deseas que cubra el certificado SSL.
  • Validación basada en DNS (validación CNAME): este método implica que el solicitante cree un registro CNAME único en su sistema de nombres de dominio (DNS) para demostrar el control del dominio. Por ejemplo, a Sectigo le gusta exigir a sus solicitantes de certificados que hagan que sus registros CNAME apunten al sitio de Sectigo.

La CA/B Forum Ballot SC 45 cambia las reglas para la Validación de Certificados SSL Wildcard

La CA/B Forum Ballot SC 45, que entrará en vigencia el 1 de diciembre de 2021, especifica que la validación de dominios basada en archivos ya no se permitirá para Wildcards. La preocupación aquí es que no se considera un método lo suficientemente completo porque este método de validación solo proporciona control sobre un host y servicio, no el espacio de nombres de dominio en su conjunto. La nueva norma tuvo un amplio apoyo y fue aprobada por unanimidad con 22 emisores de certificados y cinco grupos de consumidores de certificados que votaron por ella.

Digamos que tu controlas el FQDN individual ejemplo.com. Aquello no prueba automáticamente que también controles otras áreas de tu espacio de nombres de dominio (como los subdominios email. ejemplo.com o login.email. ejemplo.com). Alguien malintencionado podría validar los dominios que utilizas para campañas de phishing y otros ciberataques.

Entonces, ahora deberás validar cada FQDN o dominio de nombre alternativo de sujeto (SAN) que desees cubrir individualmente. En otras palabras, el uso del método basado en archivos para validar ejemplo.com ya no validará los subdominios en la misma raíz (* . ejemplo.com, otrodominio.com, etc.).

¿Es necesario este cambio?

Todo esto puede hacer que te preguntes si es necesario deshacerse de este método de validación de dominio. Según la discusión de GitHub del CA/B Forum sobre la Ballot SC 45, el objetivo aquí es dejar en claro que el uso del método HTTP / HTTPS para validar un solo dominio demuestra el control de un solo FQDN. Este método de validación no prueba el control de todo el espacio de nombres del FQDN como un todo (es decir, todos los dominios y subdominios que existen dentro de ese espacio de nombres).

Es posible que alguien pueda tener el control de dónde está alojado ejemplo.com, pero no ser un administrador autorizado del servidor donde se aloja cualquiera de los subdominios. Sin embargo, parece que se trata más de una preocupación teórica que de un problema generalizado del mundo real.

DigiCert y Sectigo implementarán sus cambios de DCV antes de lo programado el 15 de noviembre de 2021

Los cambios de DCV para DigiCert y Sectigo entrarán en vigencia el lunes 15 de noviembre de 2021. Esto significa que cualquier certificado emitido antes del 14 de noviembre seguirá funcionando como siempre en términos de métodos DCV. Sin embargo, a partir del 15 de noviembre:

  • La validación basada en archivos ya no será una opción para los certificados Wildcard, y
  • Los certificados que no sean Wildcard requerirán una validación separada para cada FQSN/SAN cuando se utilice el método de validación basado en archivos.

Entonces, ¿cuál es la gran conclusión de todo esto? El método de validación de control de dominio basado en archivos desaparecerá para los certificados Wildcard. Por lo tanto, debes estar preparado para usar el método de validación de dominio basado en DNS o en correo electrónico en su lugar. Específicamente:

  • La validación HTTP ya no se aplicará a Certificados Wildcard ni a Dominios /Subdominios Adicionales (SAN)
  • Tu deberás elegir uno de los otros dos métodos de validación de control de dominio que mencionamos anteriormente

¿Tiene preguntas o inquietudes sobre este proceso? Comunícate con nuestro equipo.

Categories: Certificados SSL, Noticias
Alexis
CTO | Director de Operaciones y Tecnología en NODORED.COM

Related Articles

Report

Harassment or bullying behavior
Contains mature or sensitive content
Contains misleading or false information
Contains abusive or derogatory content
Contains spam, fake content or potential malware

Block Member?

Please confirm you want to block this member.

You will no longer be able to:

  • See blocked member's posts
  • Mention this member in posts
  • Invite this member to groups
  • Message this member
  • Add this member as a connection

Please note: This action will also remove this member from your connections and send a report to the site admin. Please allow a few minutes for this process to complete.

Report

You have already reported this .