El CA/B Forum aprueba un nuevo método para verificar el control de dominios que utilizan la extensión ALPN

El CA/B Forum, el regulador de la industria de SSL, ha aprobado la nueva votación SC33 por mayoría votos.

Tal como sugiere la propuesta, el método para verificar la propiedad de dominios establecido en 3.2.2.4.10 (que utiliza números aleatorios) ahora es obsoleto. En vez de ello, se ha introducido una nueva cláusula 3.2.2.4.20, que le permite comprobar la propiedad de los FQDN que utilizan la extensión ALPN.

Motivos del cambio

En enero de 2018, se descubrió una vulnerabilidad en el método de validación de dominios ACME TLS-SNI-01. Este era el principal método utilizado para la aplicación del apartado 3.2.2.4.10 y esto se hacía a pesar de los problemas existentes. La extensión ALPN es una alternativa a la validación ACME TLS-SNI-01; el IETF la normalizó como RFC 8737. Por esta razón, el CA/B Forum decidió abandonar el método posiblemente inseguro 3.2.2.4.10 a favor del nuevo método 3.2.2.4.20.

La propuesta no indica detalles acerca del período de transición especificado para el método de validación 3.2.2.4.10. Las comprobaciones previas realizadas con este método, así como los datos de validación obtenidos mediante uso del mismo, no deben utilizarse para emitir certificados.

Asimismo, la propuesta restringe el uso de antiguos FQDN validados —se requieren nuevas validaciones para diferentes subdominios y no están permitidas las validaciones wildcard.

¡Suscríbase a nuestro boletín y a nuestros grupos de redes sociales para mantenerse al día con las últimas noticias del mundo de los certificados SSL!