Устаревшими объявлены методы, связанные с использованием информации из сервиса WHOIS, подтверждением контактных данных при помощи email, телефонных звонков, факсов, SMS или бумажных писем, а также верификацией на основе проверки владения IP-адресом, прописанным для домена в DNS. Предполагается, что прекращение поддержки указанных методов проверки позволит избавиться от лазеек, потенциально позволявших атакующим получить сертификат для домена, который они не контролируют. Например, год назад была продемонстрирована возможность получения TLS-сертификатов для чужих доменов в зоне ".mobi" путём
захвата устаревшего WHOIS-сервиса регистратора данной доменной зоны.
Список методов подтверждения владения доменом, объявленных устаревшими:
- Отправка Email, факса, SMS или бумажного письма по контактным данным, указанным для домена в базе WHOIS или в SOA-записи в DNS.
- Отправка Email, факса, SMS или бумажного письма по контактным данным, указанным для связанного с доменом IP-адреса.
- Отправка проверочного кода на типовые Email, такие как
admin@, administrator@, webmaster@, hostmaster@ и postmaster@. - Отправка проверочного кода на Email, указанный в CAA-записи домена в DNS.
- Отправка проверочного кода на Email, указанный в TXT-записи домена в DNS.
- Подтверждение телефонным звонком на номер, указанный в качестве контактного для домена.
- Подтверждение телефонным звонком на номер, указанный в TXT-записи домена в DNS.
- Подтверждение телефонным звонком на номер, указанный в CAA-записи домена в DNS.
- Подтверждение телефонным звонком на номер, указанный в качестве контактного для IP-адреса, к которому привязан домен.
- Проверки на основе подтверждения владения IP-адресом, прописанным для домена в DNS.
- Проверки на основе обратного резолвинга IP‑адреса.
Источник: https://www.opennet.ru/opennews/art.shtml?num=64426
(opennet.ru, основная лента)
