Til Ressurser

Validering av domener i TLS-sertifikater - rammebetingelser endres

Når Buypass utsteder TLS-sertifikater er det alltid ett eller flere domenenavn som skal legges inn i sertifikatene. En av de viktigste oppgavene en sertifikatutsteder(CA) gjør ved utstedelse av et TLS-sertifikat, er å sikre at den sertifikatet er bestilt til kan «bevise» at vedkommende har rett til å bruke domenet. 

15.06.2018
Dette handler om sikkerhet på nett og viktigheten av at alle som benytter internett skal kunne ha tillit til at sertifikater som benyttes for sikring av kommunikasjonen er utstedt på riktig grunnlag.

10 godkjente metoder

Det er CA/Browser Forum som definerer hvilke kontroller eller valideringer som må utføres før et TLS-sertifikat kan utstedes. August 2016 definerte de en liste med ti godkjente metoder for å validere domener (domenevalideringsmetoder) som sertifikatutstedere kan bruke.

ballot 218 i begynnelsen av februar stemte CA/Browser Forum for å fjerne to av de 10 aksepterte valideringsmetodene (metode 1 og 5) hvorav metode 1 er den som fokuserer på domene-eierskap. Denne endringen trer i kraft 1. august 2018.

Domene-eierskap eller –kontroll?

I Norge har vi relativt ryddige forhold med gode, offentlige registre over virksomheter og god kontroll på hvilke virksomheter som bestiller domener under det norske toppdomenet «.no» hos Norid.

På bakgrunn av dette har Buypass i stor grad benyttet domenevalideringsmetode 1 – verifisering av domene-eierskap – som sier at det er tilstrekkelig å sjekke at en virksomhet som bestiller et TLS-sertifikat er identisk med registrert domeneeier.

Med bakgrunn i uheldig praksis hos enkelte sertifikatutstedere og dårligere kvalitet på tilsvarende registre i andre deler av verden, besluttet CA/Browser Forum som nevnt å avvikle to av de ti godkjente domenevalideringsmetodene, inkludert metode 1 som Buypass benytter.

Buypass jobber med å legge om domenevalideringen for å erstatte metode 1 med alternative og aksepterte domenevalideringsmetoder. Vi har valgt å bruke domenevalideringsmetoder som via oppslag i WHOIS henter ut kontaktinformasjon til domeneeier. Vi innhenter så godkjenning av domeneeier, fortrinnsvis via e-post eller telefon, basert på denne kontaktinformasjonen.

GDPR kompliserer

The EU General Data Protection Regulation - GDPR - som ble innført i EU Mai 2018 fokuserer på både å begrense registrering av personopplysninger og ikke minst utlevering av persondata.

Dette rammer også den åpne WHOIS-protokollen. Dette har ført til at tilgang til nødvendig informasjon for å gjennomføre domenevalidering pr e-post ble betydelig redusert. Det jobbes aktivt fra flere hold for å sørge for at sertifikatutstedere og andre aktører som har legitimt behov for tilgang til informasjon om domeneeiere faktisk får det, men dette kan ta noe tid.

Konsekvens

Disse endringene i rammebetingelsene for validering av domener setter Buypass i en vanskelig situasjon. Dette vil dessverre kunne gå utover våre kunder, da spesielt i forhold til en noe lengre leveringstid på utstedelse av våre TLS-sertifikater.

Vi vurderer kontinuerlig alternative metoder for domenevalidering. Innenfor den relativt korte tiden vi har til rådighet før 1. august 2018, ser vi oss nødt til å benytte domenevalideringsmetoder og prosesser der våre kunder - mer presist: eiere av domener som skal benyttes - må regne med å bli kontaktet på en eller annen måte for å godkjenne bruk av domener i sertifikater.

CA/Browser Forum har tatt tak i utfordringene innført med GDPR. Vi forventer at det blir definert nye domenevalideringsmetoder som vil gjøre oss bedre i stand til å betjene våre kunder på en god måte. Men dette er prosesser som tar tid.

I en overgangsperiode, fra 1.august 2018 og noen måneder fremover, vil man derfor måtte påregne lenger leveringstid med bakgrunn i endringene i våre rammebetingelser for hvordan vi må gjennomføre domenevalidering for å tilfredsstille bransjens krav.

Tiltak

For å gjøre denne prosessen så smidig og enkel som mulig kan kunder og domeneeiere bidra til å redusere leveringstiden ved å sørge for at det er mulig å nå domeneeier via en av de standardiserte e-postadressene: admin@<domene>, administrator@<domene>, webmaster@<domene>, hostmaster@<domene> eller postmaster@<domene>.