Il CA/B Forum approva un nuovo metodo per la verifica del controllo del dominio ricorrendo all'estensione ALPN

Il CA/B Forum, l'autorità di regolamentazione del settore SSL, ha approvato la proposta SC33 con la maggioranza dei voti.

In base alla proposta, il metodo per la verifica della proprietà del dominio in 3.2.2.4.10 (utilizzando numeri casuali) non è più approvato. Al suo posto, è stata introdotta una nuova clausola, 3.2.2.4.20, che consente di verificare la proprietà del nome di dominio pienamente qualificato (FQDN) utilizzando l'estensione ALPN.

Motivo della modifica

A gennaio 2018, è stata individuata una vulnerabilità nel metodo di convalida del dominio ACME TLS-SNI-01. Questo metodo è stato utilizzato come principale strumento per l'implementazione del paragrafo 3.2.2.4.10 e continuava a essere applicato nonostante i problemi riscontrati. ALPN è una soluzione alternativa alla convalida ACME TLS-SNI-01 che è stata standardizzata dall'IETF come RFC 8737. Per tale motivo, il CA/B Forum ha deciso di abbandonare il metodo potenzialmente insicuro 3.2.2.4.10, passando al nuovo metodo 3.2.2.4.20.

Nella proposta non è stato specificato il periodo di transizione per il metodo di convalida 3.2.2.4.10. Tutte le verifiche precedenti svolte utilizzando questo metodo e i rispettivi dati di convalida ottenuti non devono essere utilizzate per l'emissione di certificati.

La proposta limita l'utilizzo del precedente FQDN convalidato; inoltre, sono necessarie nuove convalide per i diversi sottodomini e le convalide di wildcard non sono ammesse.

Iscriviti alla nostra newsletter e ai nostri gruppi sui social network per conoscere le ultime novità del mondo dei certificati SSL!