Skip to content
Central (01) 707-5800 ventas@optima.pe 959029991 963388280  Pida una Cotización

Validación HTTP/HTTPS a través de archivos para certificados Wildcard desaparece

¿Es la validación del control de dominio HTTP/HTTPS tu método preferido para validar Certificados SSL Wildcard ? A partir de noviembre 2021, deberás utilizar la validación de DNS o de correo electrónico para los Certificados SSL Wildcard

Si sigues el CA/Browser Forum es probable que al menos hayas escuchado sobre algunos de los cambios que se están produciendo este año. La Ballot SC 45, también conocida como Wildcard Domain Validation ballot, es el último cambio de validación de control de dominio (DCV) que ha salido del CA/Browser Forum. Este cambia los requisitos relacionados con la forma en que las CA pueden validar tus dominios y subdominios al emitir certificados SSL Wildcard para tus sitios. A partir de noviembre, no podrás utilizar la autenticación basada en archivos para Certificados Wildcard. En su lugar, deberás utilizar DNS o autenticación basada en correo electrónico.

El cambio se creó en respuesta a la preocupación de que la validación del control basado en el host no es una forma lo suficientemente sólida para demostrar que alguien tiene control sobre todo el espacio de nombres de un dominio. Recibió el apoyo unánime de los miembros del CA/Browser Forum porque mejora la seguridad de los subdominios.

Pero, ¿Qué implica exactamente este cambio para los usuarios de certificados Wildcard y Multidominio? ¿Y qué significa todo esto para la validación de dominios sin el uso de lo que se considera un método de validación popular?

Primero, Hagamos un breve repaso sobre los métodos de validación de dominio

Siempre que solicitas un certificado digital para proteger un dominio, debes demostrar que realmente controlas ese dominio. La validación de control de dominio (DCV) es una parte importante del proceso de solicitud y emisión de certificados. Tradicionalmente, hubo tres métodos entre los que puedes elegir para realizar esta tarea. A continuación una descripción general y breve de los tres tipos:

  • Validación mediante correo electrónico: este método de validación de dominio es el más fácil. Implica que recibas un correo electrónico enviado a una cuenta especifica predeterminada por la CA y actúes en consecuencia (como admin@tudominio.com).
  • Validación mediante archivos (validación HTTP/HTTPS): este método de validación de dominio requiere que subas un archivo de texto a un directorio específico del servidor web de tu dominio. El archivo debe contener información específica que la CA te indique para demostrar que controlas los dominios que deseas que cubra el certificado SSL.
  • Validación mediante Registro DNS (validación CNAME): este método implica que el solicitante cree un registro CNAME único en su sistema de nombres de dominio (DNS) para demostrar el control del dominio. Por ejemplo, a Sectigo le gusta exigir a sus solicitantes de certificados que hagan que sus registros CNAME apunten al sitio de Sectigo.
La CA/B Forum Ballot SC 45 cambia las reglas para la Validación de Certificados SSL Wildcard

La CA/B Forum Ballot SC 45, que entrará en vigencia el 1 de diciembre de 2021, especifica que la validación de dominios basada en archivos ya no se permitirá para Wildcards. La preocupación aquí es que no se considera un método lo suficientemente completo porque este método de validación solo proporciona control sobre un host y servicio, no el espacio de nombres de dominio en su conjunto. La nueva norma tuvo un amplio apoyo y fue aprobada por unanimidad con 22 emisores de certificados y cinco grupos de consumidores de certificados que votaron por ella.

Digamos que tu controlas el FQDN individual dominio.tld. Aquello no prueba automáticamente que también controles otras áreas de tu espacio de nombres de dominio (como los subdominios email.dominio.tld o login.email.dominio.tld). Alguien malintencionado podría validar los dominios que utilizas para campañas de phishing y otros ciberataques.

Entonces, ahora deberás validar cada FQDN o dominio de nombre alternativo de sujeto (SAN) que desees cubrir individualmente. En otras palabras, el uso del método basado en archivos para validar ejemplo.com ya no validará los subdominios en la misma raíz (* . dominio.tld, otrodominio.tld, etc.).

¿Es necesario este cambio?

Todo esto puede hacer que te preguntes si es necesario deshacerse de este método de validación de dominio. Según la discusión de GitHub del CA/B Forum sobre la Ballot SC 45, el objetivo aquí es dejar en claro que el uso del método HTTP/HTTPS para validar un solo dominio demuestra el control de un solo FQDN. Este método de validación no prueba el control de todo el espacio de nombres del FQDN como un todo (es decir, todos los dominios y subdominios que existen dentro de ese espacio de nombres).

Es posible que alguien pueda tener el control de dónde está alojado dominio.tld, pero no ser un administrador autorizado del servidor donde se aloja cualquiera de los subdominios. Sin embargo, parece que se trata más de una preocupación teórica que de un problema generalizado del mundo real.

DigiCert y Sectigo implementarán sus cambios de DCV antes de lo programado el 15 de noviembre de 2021

Los cambios de DCV para DigiCert y Sectigo entrarán en vigencia el lunes 15 de noviembre de 2021. Esto significa que cualquier certificado emitido antes del 14 de noviembre seguirá funcionando como siempre en términos de métodos DCV. Sin embargo, a partir del 15 de noviembre:

  • La validación basada en archivos ya no será una opción para los certificados Wildcard, y
  • Los certificados que no sean Wildcard requerirán una validación separada para cada FQSN/SAN cuando se utilice el método de validación basado en archivos.

Entonces, ¿Cuál es la gran conclusión de todo esto? El método de validación de control de dominio basado en archivos desaparecerá para los certificados Wildcard. Por lo tanto, debes estar preparado para usar el método de validación de dominio basado en DNS o en correo electrónico en su lugar. Específicamente:

  • La validación HTTP/HTTPS ya no estará disponible a Certificados Wildcard ni a Dominios / Subdominios Adicionales (SAN)
  • Tu deberás elegir uno de los otros dos métodos de validación de control de dominio que mencionamos anteriormente (CNAME o Email).

Loading

Foto del avatar

Walter Mendoza

OPTIMA SECURITY SAC - Seguridad Digital para su empresa.
Somos una empresa dedicada a crear Confianza y Seguridad Digital en internet a empresas modernas.

Volver arriba