Wichtige Änderungen der Domain-Inhabervalidierung für alle Zertifizierungsstellen

Ab dem 1. August 2018 müssen alle Zertifizierungsstellen die Inhabervalidierungsverfahren ändern, um die Ballot 2018 -Vorgaben sowie die Grundanforderungen des CA/Browser-Forums (CA/B Forum) zu erfüllen.

Zertifizierungsstellen dürfen nicht mehr die Validierungsverfahren 1 und 5:
  • Bei Methode 1 wurden die Kontaktdaten des Bewerbers mit denen des Domainbesitzers verglichen (z.B mit WHOIS)
  • Mit Methode 5 war es möglich mit einem Rechtsgutachten den Besitz der Domain nachzuweisen.

(Mehr Details finden Sie in in den Abschnitten 3.2.2.4.1 und 3.2.2.4.5 der Grundanforderungen des CA/B-Forum beschrieben) anwenden.

CA/B Forum Logo

Welche Zertifikate sind betroffen?
  • DV-, OV-, und EV-Zertifikate, die am oder nach dem 1. August 2018 ausgestellt werden, müssen die neuen Anforderungen im Hinblick auf Validierungsverfahren erfüllen
  • Zertifikate, die mithilfe der „manuellen Methode“ im Rahmen Ihrer mPKI (Symantec, DigiCert, Comodo und Entrust) für Ihre Domains ausgestellt wurden

Welche Zertifikate sind nicht betroffen?
  • Bestehende DV-, OV- und EV-Zertifikate (vor dem 1. August 2018) ausgestellt), sind nicht betroffen außer, sie müssen erneut ausgestellt werden.

Warum werden diese Änderungen durchgeführt?

Das CA/B-Forum ist zu dem Schluss gekommen, dass die Validierungsverfahren 1 und 5 die Zielvorgaben in Bezug auf die Validierung von Inhabern oder Verwaltern einer Domain vor der Ausstellung eines SSL-Zertifikats nicht ausreichend erfüllen.

"Purpose of Ballot 218: Section 3.2.2.4 says that it “defines the permitted processes and procedures for validating the Applicant’s ownership or control of the domain.” Most of the validation methods actually do validate ownership and control, but two do not, and can be completed solely based on an applicant’s own assertions.

Since these two validation methods do not meet the objectives of section 3.2.2.4, and are actively being used to avoid validating domain control or ownership, they should be removed, and the other methods that do validate domain control or ownership should be used.”


CA/Browser Forum

Welche Validierungsverfahren werden ab August 2018 akzeptiert?
  • E-Mail über die Genehmigung der Authentifizierung: Es wird eine E-Mail an mehrere E-Mail-Adress-Aliases versendet, die der betreffenden Domain zugeordnet sind (z.B. admin@, administrator@, hostmaster@, webmaster@, postmaster@), um zu validieren, das Sie Zertifikate für diese Domain ausstellen dürfen.

  • DNS-Record (TXT- oder CNAME-Record): Die Zertifizierungsstelle sendet Ihnen einen bestimmten Wert zu, den Sie im DNS-Record Ihrer Domain posten müssen. Die Zertifizierungsstelle scannt dann nach diesem Wert, um die Domain zu validieren.

  • HTTP-/Web-Server-Authentifizierung: Die Zertifizierungsstelle übermittelt Ihnen einen speziellen Code für eine HTML Seite, den Sie auf den Server folgendermaßen hochladen müssen: (/.well-known/pki-validation). Die Zertifizierungsstelle üperprüft anschließend diesen Code, um die Domain zu validieren.


Erfahren Sie mehr über Domain-Inhabervalidierungsverfahren per SSL247®:



Das SSL247® steht mit unseren Partner-Zertifizierungsstellen in Bezug auf diese Änderungen in Kontakt und wird stets dafür sorgen, dass Sie die richtigen Informationen zu Ihren Bestellungen und Domain-Validierungsverfahren erhalten.


Für nähere Informationen kontaktieren Sie uns unter nachstehenden Kontaktdaten:

0800 20 22 880
sales@ssl247.de

Teilen:

Posted on Thursday 26 July 2018 by Wesley Hall

Zurück zu Blog

Schicken Sie uns Ihre Kommentare


Ihr Kommentar wird nicht veröffentlicht. Wenn Sie eine Frage haben, geben Sie auch Ihre E-Mail-Adresse an, damit wir Ihnen antworten können!