Od novembra nećete moći da koristite validaciju fajlom za wildcard SSL sertifikate. Umesto toga, moraćete da koristite DNS ili email validaciju.

wildcard
validacija fajlom
0
0
0
0
Days
0
0
Hrs
0
0
Min
0
0
Sec

Promena je nastala kao odgovor na zabrinutost da potvrđivanje kontrole zasnovane na hostu nije dovoljno jak način da se dokaže da neko ima kontrolu nad celim imenskim prostorom domena.

Zabrinutost ovde predstavlja to što se validacija fajlom ne smatra dovoljno sveobuhvatnom metodom jer ovaj metod provere pruža samo kontrolu nad hostom i uslugom, a ne i nad domenskim prostorom u celini.

Prvo, kratak podsetnik metoda validacije

Kad god zatražite digitalni sertifikat za zaštitu određenog domena, morate dokazati da zapravo kontrolišete taj domen. Validacija kontrole domena (DCV) važan je deo procesa zahteva i izdavanja sertifikata. Tradicionalno, postojale su tri metode za validaciju. Evo kratkog pregleda:

  1. Validacija zasnovana na e-mailu – Ova metoda potvrde domena je najjednostavnija. To uključuje primanje i postupanje po e-mailu na nalog naveden u WHOIS evidenciji vašeg domena (kao što je admin@vašdomen.com).
  2. Validacija zasnovana na datoteci (HTTP/HTTPS validacija) – Ovaj metod provere domena zahteva da postavite tekstualnu datoteku u određeni direktorijum web servera vašeg domena. Datoteka mora sadržati posebne informacije koje vam CA naloži kako biste dokazali da kontrolišete domene za koje želite da pokrivaju wildcard ili drugi SSL sertifikati.
  3. Validacija zasnovana na DNS-u (CNAME validacija) – Ova metoda uključuje podnosioca zahteva da kreira jedinstveni CNAME zapis u svom sistemu imena domena (DNS) kako bi dokazao kontrolu nad domenom. Na primer, Sectigo zahteva da CNAME zapisi pokazuju nazad na Sectigo web sajt.

Promena pravila za validaciju wildcard sertifikata

Recimo da vi kontrolišete FQDN example.com. To ne dokazuje automatski da kontrolišete i druga područja domenenskog prostora (poput poddomena email.example.com ili login.email.example.com). Neko zlonamerni mogao bi da verifikuje poddomene i koristi ih za phishing kampanje i druge sajber napade.

Moguće je da neko može imati kontrolu nad serverom gde je domen.com hoatovan, ali ne mora biti ovlašćeni administrator servera na kome se hostuje bilo koji od poddomena. Međutim, čini nam se da je to više teorijska briga nego rasprostranjen problem iz stvarnog sveta.

Dakle, šta ovo znači ako koristite validaciju zasnovanu na fajlu za domene koji nisu wildcard? Moraćete da potvrdite svaki FQDN ili domen alternativnog imena (SAN) koji želite pojedinačno da pokrijete. Drugim rečima, korišćenje metode zasnovane na fajlu za proveru domen.com više neće potvrđivati poddomene na istom korenu (*.domen.com, pod.domen.com, itd.).

Primer SAN domena koji je pokriven pojedinačnim SAN SSL/TLS sertifikatima.

Kada tačno promena stupa na snagu?

DigiCert i Sectigo primeniće ovu izmenu malo ranije – 15. novembra 2021.

Iako izmena bi trebalo da stupi na snagu do 1. decembra 2021. godine, dva vodeća sertifikaciona tela (DigiCert i Sectigo) zasebno su objavila da pojedinačno primenjuju promene validacije nekoliko nedelja ranije. Zašto? Da biste bili sigurni da sve funkcioniše kako treba i da nema nepredviđenih problema koji se pojavljuju u poslednjem trenutku.

DCV promene za DigiCert i Sectigo stupaju na snagu u ponedeljak, 15. novembra 2021. To znači da će svi sertifikati izdati pre 14. novembra i dalje raditi kao i uvek u pogledu DCV metoda.

Međutim, od 15. novembra:

  • validacija zasnovana na fajlu više neće biti opcija za wildcard sertifikate i
  • ne-wildcard sertifikati zahtevaće zasebnu proveru za svaki FQSN/SAN kada se koristi metoda validacije zasnovana na fajlu.

Dakle, šta to znači za vas ako se odlučite za SSL pre isteka roka za 1. decembar? Ilustrirajmo kako će ove promene uticati na DCV za različite SAN/FQDN -ove na osnovu datuma uvođenja CA-a od 15. novembra:

Sertifikat i pokrivenost domena
Validacija pre 15. novembra
Validacija posle 15. novembra
Sertifikat za wildcard *.example.comOmogućava upotrebu bilo kog od tri metoda validacije, uključujući validaciju zasnovanu na fajluZahteva validaciju domena zasnovanu na DNS-u ili e-mail metodi
Sertifikat sa SAN-ovima za example.com i email.example.comOmogućava upotrebu bilo kog od tri metoda validacije, uključujući validaciju zasnovanu na fajluZahteva upotrebu validacije zasnovane na DNS-u ili e-mailu, ILI potpunu proveru zasnovanu na fajlovima za svaki SAN domen pojedinačno

Šta treba da uradite ako trenutno koristite validaciju zasnovanu na fajlu?

Dakle, šta je veliki zaključak iz svega ovoga? Metoda validacije domena zasnovana na fajlovima nestaje za wildcard sertifikate. Dakle, morate biti spremni da umesto toga koristite metod validacije domena zasnovan na DNS-u ili e-mailu. Konkretno:

  1. HTTP validacija se više neće primenjivati na wildcard domenima i SAN poddomene.
  2. Moraćete da izaberete jedan od druga dva metoda validacije domena koje smo ranije pomenuli

Ako imate drugi specifičan slučaj upotrebe koji se oslanja na validaciju zasnovanu na fajlu za wildcard sertifikate, obratite nam se i mi ćemo zajedno sa vama pronaći rešenje koje zadovoljava vaše potrebe.

Imate pitanja ili ste zabrinuti oko ovog procesa? Pitajte nas