CA / B Forum genehmigt neue Methode zur Überprüfung der Domänensteuerung mittels ALPN-Erweiterung

Das CA / B Forum, die Regulierungsbehörde der Zertifikatsbranche, hat durch eine Mehrheitsentscheidung den neuen Entwurf SC33 verabschiedet.

Laut dem Entwurf gilt die Methode zur Überprüfung des Domänenbesitzes (mit Zufallszahlen) in Paragraf 3.2.2.4.10 nun als veraltet. Stattdessen wurde unter 3.2.2.4.20 eine neue Klausel eingeführt, welche die Überprüfung des FQDN-Besitzers (Fully Qualified Domain Name) mit Hilfe der ALPN-Erweiterung erlaubt.

Gründe für die Änderung

Im Januar 2018 wurde eine Schwachstelle in der ACME TLS-SNI-01-Domänenvalidierungsmethode entdeckt. Diese Methode wurde bis dato hauptsächlich für den Paragrafen 3.2.2.4.10 und trotz der bestehenden Probleme angewandt. ALPN ist nun eine Alternative zur ACME TLS-SNI-01-Validierung; das IETF (International Engineering Task Force) hat die Methode unter der Kennziffer RFC 8737 standardisiert.  Aus diesem Grund hat sich das CA/ B Forum dazu entschieden, die potenziell unsichere Methode 3.2.2.4.10 durch die neue Methode 3.2.2.4.20 zu ersetzen.

In dem Beschluss fehlen bislang Einzelheiten über die konkrete Übergangsphase bis zum Auslauf der Validierungsmethode 3.2.2.4.10. Alle vorherigen Prüfungen, die mit dieser Methode durchgeführt wurden, sowie die mit dieser Methode erhaltenen Validierungsdaten, sollten nicht für die Ausstellung von Zertifikaten verwendet werden.

Der Entwurf schränkt auch die Verwendung von alten validierter FQDNs ein – für unterschiedliche Subdomains sind neue Validierungen erforderlich, Wildcard Validierungen sind nicht mehr zulässig.

Bleiben Sie im Bereich SSL immer auf dem Laufenden – mit unserem Newsletter und in den sozialen Netzwerken.