註冊機構如何為 SSL 驗證實體的身份?
在這裡的答案:Verification of identity by Certification authority,它指出對於歐洲電子身份,您必須提供您的護照或身份證,但是
對於 SSL 證書(佔最大部分)或軟體簽名證書,這種做法完全不同。
我對那個案子很感興趣。答案下方的評論指向我不完全理解的參考。
那麼問題來了,如果我擁有一個網路域www.croraf.com並且我向註冊機構申請認證,他們將如何驗證我確實控制了該域?
編輯:我問的是域驗證 (DV) SSL 證書,因為擴展驗證 (EV) SSL 證書在驗證中包含人為因素。
這些天的答案是十福法
Web PKI(網際網路 SSL/TLS 服務的 PKI)的公共 CA 受到各種實體的信任,但到目前為止,最重要的是 Web 瀏覽器供應商,實際上他們或多或少也是作業系統供應商。它們是 Microsoft、Apple、Mozilla(代表所有 Free Unix 系統)和 Google。這些組織的信任意味著來自 CA 的證書受到普通人使用的 Web 瀏覽器的信任,這實際上是完成大量工作所必需的。
這些信任儲存以及幾乎所有公共 CA 都參加了兩個團體之間的常設會議,稱為 CA/瀏覽器論壇或簡稱 CA/B。會議同意要求文件,其中規定了 CA 必須做什麼才能保持任何瀏覽器成員的信任。這些天最重要的是基線要求或 BR。
從歷史上看,BR 表示 CA 可以使用“任何方法”來驗證申請人是否控制了所請求的名稱,如果他們確信它“等同於”通常已知使用的方法列表。很明顯,CA 並不擅長真正判斷他們的方法是否有效,因此這個要求不能令人滿意。
去年,CA/B 的一個小組委員會同意對名為“Ballot 169”的 BR 進行修訂,其中列出了公共 CA 可以在可信證書中驗證 DNS 名稱的十種具體方法。投票雖然通過了,但是卻發生了一系列荒謬的事件,導致它還沒有生效。然而,CA/B BR 只是基線,因此 Mozilla 作為其自身要求的一部分,要求 CA 開始僅使用這些方法,相關人員傾向於將其稱為十種祝福方法。
在撰寫本文時,它們列在最新 BR 文件的第 3.2.2.4 節“域授權或控制的驗證”中,它們是:
3.2.2.4.1 驗證申請人為域聯繫人
3.2.2.4.2 電子郵件、傳真、簡訊或郵寄郵件到域聯繫人
3.2.2.4.3 電話聯繫方式與域聯繫方式
3.2.2.4.4 構造郵件到域聯繫人
3.2.2.4.5 域授權文件
3.2.2.4.6 同意更改網站
3.2.2.4.7 DNS 變更
3.2.2.4.8 IP 地址
3.2.2.4.9 測試證書
3.2.2.4.10。使用隨機數的 TLS
因此,今天公共 CA 必須使用其中一種確切的方法(每種方法都在 BR 中詳細討論,使用最新的可用版本來擷取任何勘誤表)來確認 DNS 名稱由申請人控制,然後再創建證書。他們被允許做更多,但他們至少必須這樣做。
例如,最受歡迎的 CA 之一 Let’s Encrypt 允許申請者使用 3.2.2.4.6、3.2.2.4.7 或 3.2.2.4.10