НАЗАД К НОВОСТЯМ
ИсследованияКритический

Chrome Root Program исключает ненадёжные методы валидации доменов для HTTPS-сертификатов

3 мин чтенияИсточник: Google Security Blog

Chrome и CA/Browser Forum ужесточают требования к проверке доменов для HTTPS-сертификатов, отказываясь от устаревших методов DCV к 2028 году. Узнайте, как это повлияет на безопасность веба.

Chrome Root Program усиливает безопасность HTTPS, отказываясь от устаревших методов валидации доменов

Маунтин-Вью, Калифорния – Chrome Root Program и CA/Browser Forum объявили о значительном повышении безопасности современного веба, приняв новые требования, которые исключат 11 устаревших методов Domain Control Validation (DCV) для HTTPS-сертификатов. Эти изменения, инициированные недавними голосованиями в CA/Browser Forum (SC-080, SC-090 и SC-091), направлены на отказ от слабых практик проверки — таких как валидация по электронной почте, телефону или физической почте — в пользу автоматизированных, криптографически проверяемых альтернатив. Полный переход планируется завершить к марту 2028 года, что даст владельцам сайтов время на адаптацию.

Почему валидация контроля домена важна

Domain Control Validation (DCV) — это критически важный процесс безопасности, гарантирующий, что TLS-сертификаты выдаются только легитимным операторам доменов. Без надёжной DCV злоумышленники могут мошенническим путём получить сертификаты для доменов, которые им не принадлежат, что открывает возможности для атак подмены или перехвата трафика. Исторически центры сертификации (CA) полагались на косвенные методы валидации, такие как проверка через WHOIS или подтверждение по электронной почте, которые оказались уязвимыми для эксплуатации (например, атака RCE-to-domain-takeover от WatchTowr).

Современные методы DCV используют механизмы «вызов-ответ», такие как размещение случайного значения в DNS TXT-записи или применение протокола Automated Certificate Management Environment (ACME) (RFC 8555). Эти подходы обеспечивают более надёжные и поддающиеся аудиту доказательства владения доменом, а также позволяют автоматизировать управление жизненным циклом сертификатов.

Устаревшие методы валидации

Следующие устаревшие методы DCV будут исключены в рамках новых требований:

Валидация по электронной почте (отменена)

  • Электронная почта, факс, SMS или почтовое отправление контактному лицу домена
  • Электронная почта, факс, SMS или почтовое отправление контактному лицу IP-адреса
  • Сформированный адрес электронной почты контактному лицу домена
  • Электронная почта контактному лицу DNS CAA
  • Электронная почта контактному лицу DNS TXT

Валидация по телефону (отменена)

  • Телефонный звонок контактному лицу домена
  • Телефонный звонок контактному лицу по телефону из DNS TXT-записи
  • Телефонный звонок контактному лицу по телефону из DNS CAA
  • Телефонный звонок контактному лицу IP-адреса

Валидация через обратный поиск (отменена)

  • Валидация по IP-адресу
  • Обратный поиск адреса

Влияние и изменения в отрасли

Хотя эти изменения незаметны для конечных пользователей, они значительно сокращают поверхность атаки, устраняя зависимость от устаревших или косвенных сигналов валидации — таких как неактуальные данные WHOIS или унаследованная инфраструктура. Этот переход соответствует дорожной карте Google «Moving Forward, Together», представленной в 2022 году, которая делает акцент на модернизации инфраструктуры безопасности через автоматизацию и стандартизированные протоколы, такие как ACME.

Для владельцев сайтов поэтапное исключение устаревших методов предоставляет многолетний переходный период для внедрения более надёжных методов DCV. Организациям рекомендуется:

  • Перейти на выдачу сертификатов на базе ACME (например, Let’s Encrypt) для автоматизированной и криптографически защищённой валидации.
  • Провести аудит существующих рабочих процессов выдачи сертификатов, чтобы выявить и заменить устаревшие методы DCV.
  • Использовать DNS-вызовы (например, DNS TXT-записи) для более устойчивой проверки доменов.

Более широкие последствия для безопасности

Эта инициатива является частью более масштабных усилий отрасли по повышению минимального уровня безопасности для HTTPS-сертификатов. Отказываясь от слабых методов валидации, CA/Browser Forum и Chrome Root Program снижают риск мошеннической выдачи сертификатов, что могло бы привести к атакам «человек посередине» (MITM) или подмене доменов. Эти изменения также способствуют гибкости и устойчивости управления сертификатами, позволяя быстрее реагировать на новые угрозы.

По мере развития веба такие обновления гарантируют, что механизмы доверия не отстают от современных вызовов в области безопасности — на благо всех пользователей, независимо от браузера или платформы.

Дополнительные материалы:

Поделиться

TwitterLinkedIn