|
Novedades / Eventos |
 |
|
Se elimina la validación de dominio basada en Whois |
|
En agosto de 2024, investigadores de WatchTowr Labs descubrieron una vulnerabilidad relacionada
con el uso de sistemas WHOIS para la validación de control de dominio (DCV),lo que podría conducir a validaciones
fraudulentas basadas en correo electrónico para certificados SSL/TLS.
El 14 de diciembre, el CA/Browser Forum adoptó una eliminación gradual de los métodos basados en WHOIS para la
validación de propiedad de dominios:
|
Fase uno: 15 de enero de 2025
A partir de esta fecha las CAs no podrán confiar en la información de contacto del dominio recopilada a través de métodos
manuales o automatizados de búsqueda WHOIS.
La eliminación afectará tres requisitos básicos de seguridad SSL/TLS: 3.2.2.4.2
("Correo electrónico, fax, SMS o correo postal al contacto del dominio"), 3.2.2.4.12 ("Validación del solicitante como
contacto del dominio") y 3.2.2.4.15 ("Contacto telefónico con el contacto del dominio").
Fase dos: 15 de julio de 2025
En esta instancia las CAs NO deberán confiar en ningún método de validación de dominio relacionado con WHOIS para emitir
nuevos certificados leaf o permitir la reutilización de autorizaciones previas (incluso durante un período de
reutilización válido). En particular, esta fase afecta a los requisitos básicos SSL/TLS 3.2.2.4.2 y 3.2.2.4.15.
|
¿Qué significa todo esto para su organización?
Si no utiliza datos de WHOIS para la validación de control de dominio:
- Si utilizó otro método, como registros DNS CNAME, validación de archivo de texto o correos electrónicos construidos
(por ejemplo, admin@sudominio.com), estos cambios no lo afectarán.
En el caso de haber utilizado datos de WHOIS para la validación de control de dominio:
- Deberá cambiar los métodos de validación al solicitar nuevos certificados SSL.
- Las opciones más simples incluyen usar correos electrónicos basados en su propio dominio como por ejemplo:
- admin@sudominio.com
- webmaster@sudominio.com
- hostmaster@sudominio.com
- postmaster@sudominio.com
Otros métodos incluyen:
|
|
Click aquí para más información sobre métodos de validación de dominio
|
|
|