Cuando se fortalece la seguridad del software, la firma de código y el certificado SSL/TLS…
Validación HTTP/HTTPS a través de archivos para certificados Wildcard desaparece
¿Es la validación del control de dominio HTTP/HTTPS tu método preferido para validar Certificados SSL Wildcard ? A partir de noviembre 2021, deberás utilizar la validación de DNS o de correo electrónico para los Certificados SSL Wildcard
Si sigues el CA/Browser Forum es probable que al menos hayas escuchado sobre algunos de los cambios que se están produciendo este año. La Ballot SC 45, también conocida como Wildcard Domain Validation ballot, es el último cambio de validación de control de dominio (DCV) que ha salido del CA/Browser Forum. Este cambia los requisitos relacionados con la forma en que las CA pueden validar tus dominios y subdominios al emitir certificados SSL Wildcard para tus sitios. A partir de noviembre, no podrás utilizar la autenticación basada en archivos para Certificados Wildcard. En su lugar, deberás utilizar DNS o autenticación basada en correo electrónico.
El cambio se creó en respuesta a la preocupación de que la validación del control basado en el host no es una forma lo suficientemente sólida para demostrar que alguien tiene control sobre todo el espacio de nombres de un dominio. Recibió el apoyo unánime de los miembros del CA/Browser Forum porque mejora la seguridad de los subdominios.
Pero, ¿Qué implica exactamente este cambio para los usuarios de certificados Wildcard y Multidominio? ¿Y qué significa todo esto para la validación de dominios sin el uso de lo que se considera un método de validación popular?
Primero, Hagamos un breve repaso sobre los métodos de validación de dominio
Siempre que solicitas un certificado digital para proteger un dominio, debes demostrar que realmente controlas ese dominio. La validación de control de dominio (DCV) es una parte importante del proceso de solicitud y emisión de certificados. Tradicionalmente, hubo tres métodos entre los que puedes elegir para realizar esta tarea. A continuación una descripción general y breve de los tres tipos:
La CA/B Forum Ballot SC 45 cambia las reglas para la Validación de Certificados SSL Wildcard
La CA/B Forum Ballot SC 45, que entrará en vigencia el 1 de diciembre de 2021, especifica que la validación de dominios basada en archivos ya no se permitirá para Wildcards. La preocupación aquí es que no se considera un método lo suficientemente completo porque este método de validación solo proporciona control sobre un host y servicio, no el espacio de nombres de dominio en su conjunto. La nueva norma tuvo un amplio apoyo y fue aprobada por unanimidad con 22 emisores de certificados y cinco grupos de consumidores de certificados que votaron por ella.
Digamos que tu controlas el FQDN individual dominio.tld. Aquello no prueba automáticamente que también controles otras áreas de tu espacio de nombres de dominio (como los subdominios email.dominio.tld o login.email.dominio.tld). Alguien malintencionado podría validar los dominios que utilizas para campañas de phishing y otros ciberataques.
Entonces, ahora deberás validar cada FQDN o dominio de nombre alternativo de sujeto (SAN) que desees cubrir individualmente. En otras palabras, el uso del método basado en archivos para validar ejemplo.com ya no validará los subdominios en la misma raíz (* . dominio.tld, otrodominio.tld, etc.).
¿Es necesario este cambio?
Todo esto puede hacer que te preguntes si es necesario deshacerse de este método de validación de dominio. Según la discusión de GitHub del CA/B Forum sobre la Ballot SC 45, el objetivo aquí es dejar en claro que el uso del método HTTP/HTTPS para validar un solo dominio demuestra el control de un solo FQDN. Este método de validación no prueba el control de todo el espacio de nombres del FQDN como un todo (es decir, todos los dominios y subdominios que existen dentro de ese espacio de nombres).
Es posible que alguien pueda tener el control de dónde está alojado dominio.tld, pero no ser un administrador autorizado del servidor donde se aloja cualquiera de los subdominios. Sin embargo, parece que se trata más de una preocupación teórica que de un problema generalizado del mundo real.
DigiCert y Sectigo implementarán sus cambios de DCV antes de lo programado el 15 de noviembre de 2021
Los cambios de DCV para DigiCert y Sectigo entrarán en vigencia el lunes 15 de noviembre de 2021. Esto significa que cualquier certificado emitido antes del 14 de noviembre seguirá funcionando como siempre en términos de métodos DCV. Sin embargo, a partir del 15 de noviembre:
Entonces, ¿Cuál es la gran conclusión de todo esto? El método de validación de control de dominio basado en archivos desaparecerá para los certificados Wildcard. Por lo tanto, debes estar preparado para usar el método de validación de dominio basado en DNS o en correo electrónico en su lugar. Específicamente: