Объявлены устаревшими 11 методов верификации доменов для TLS-сертификатов

15.12.2025 19:22

Ассоциация CA/Browser Forum, выступающая площадкой для совместного принятия решений с учётом интересов производителей браузеров и удостоверяющих центров, утвердила новые требования к организациям, выдающим сертификаты для HTTPS. В новых требованиях объявлены устаревшими 11 методов проверки владения доменом, для которого выдаётся сертификат. Прекращение поддержки устаревших методов будет производиться поэтапно до марта 2028 года. В качестве причин прекращения поддержки отмечается фокусирование внимания на автоматически выполняемых и криптографически верифицируемых методах проверки.

Устаревшими объявлены методы, связанные с использованием информации из сервиса WHOIS, подтверждением контактных данных при помощи email, телефонных звонков, факсов, SMS или бумажных писем, а также верификацией на основе проверки владения IP-адресом, прописанным для домена в DNS. Предполагается, что прекращение поддержки указанных методов проверки позволит избавиться от лазеек, потенциально позволявших атакующим получить сертификат для домена, который они не контролируют. Например, год назад была продемонстрирована возможность получения TLS-сертификатов для чужих доменов в зоне ".mobi" путём захвата устаревшего WHOIS-сервиса регистратора данной доменной зоны.

Список методов подтверждения владения доменом, объявленных устаревшими:

Отправка Email, факса, SMS или бумажного письма по контактным данным, указанным для домена в базе WHOIS или в SOA-записи в DNS.
Отправка Email, факса, SMS или бумажного письма по контактным данным, указанным для связанного с доменом IP-адреса.
Отправка проверочного кода на типовые Email, такие как admin@, administrator@, webmaster@, hostmaster@ и postmaster@.
Отправка проверочного кода на Email, указанный в CAA-записи домена в DNS.
Отправка проверочного кода на Email, указанный в TXT-записи домена в DNS.
Подтверждение телефонным звонком на номер, указанный в качестве контактного для домена.
Подтверждение телефонным звонком на номер, указанный в TXT-записи домена в DNS.
Подтверждение телефонным звонком на номер, указанный в CAA-записи домена в DNS.
Подтверждение телефонным звонком на номер, указанный в качестве контактного для IP-адреса, к которому привязан домен.
Проверки на основе подтверждения владения IP-адресом, прописанным для домена в DNS.
Проверки на основе обратного резолвинга IP‑адреса.

исправить –5 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64426-cert

Ключевые слова: cert, whois

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (36)

1.1, Аноним (1), 19:34, 15/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А это чё то меняет в общем?

2.6, Аноним (6), 19:57, 15/12/2025 [^] [^^] [^^^] [ответить]	+2 +/–
Похоже, будет требоваться установка криптобота на сервер.

3.7, Аноним (1), 19:59, 15/12/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Типа certbot?

4.37, Tty4 (?), 21:39, 15/12/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Это значит, что старые сайты с контентом теперь придется обновить или стереть знания нахрен. Почему кто-то решил, что контент требует защиты при доставке?

1.2, Анонимище (?), 19:36, 15/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Не увидел в списке подтверждение по телеграфу

2.3, Dzen Python (ok), 19:39, 15/12/2025 [^] [^^] [^^^] [ответить]	+2 +/–
Телетайпу!

3.15, specter (ok), 20:16, 15/12/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Почтовыми голубями

1.4, Аноним (4), 19:40, 15/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Как же теперь в Японии без факсов будут сертификаты обновлять? Бида-бида.

2.8, Аноним (6), 19:59, 15/12/2025 [^] [^^] [^^^] [ответить]	–1 +/–
> Как же теперь в Японии Зачем им интернет вообще? Они всё в бумажном виде делают. Иногда на дискетах было, но те кончились.

2.18, Аноним (18), 20:22, 15/12/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Ну например со скоростью интернета у них вполне нормально: https://en.wikipedia.org/wiki/List_of_countries_by_Internet_connection_speeds

3.27, Аноним (27), 20:46, 15/12/2025 [^] [^^] [^^^] [ответить]	+/–
Хаи! Уважение!

2.26, Аноним (27), 20:45, 15/12/2025 Скрыто ботом-модератором [к модератору]	–1 +/–

1.5, Аноним (-), 19:43, 15/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
А почтовых голубей дропнули в предыдущий раз? Или все еще в ходу? Это ж рабочие столы потом отмывать приходится...

2.30, Аноним (18), 21:08, 15/12/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Голубь не пройдёт проверку: https://www.cloudflare.com/ru-ru/ssl/encrypted-sni/

1.10, Аноним (10), 20:08, 15/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Цифровой гулаг он такой. Главное что LetsEncrypt от товарища из АНБ со времянем жизни в пол наноскунды все так же моден и молодёжен. Большой брат уже изготовил... ну это certbot, для каждого "свободного" гражданина. Интересно когда они начнут требовать установку скажем виндоус-дефендера на каждый сервер для еще лучшей верификации того, что получатель это "добропорядочный" ра... пользователь?

2.23, Аноним (18), 20:35, 15/12/2025 [^] [^^] [^^^] [ответить]	+/–
>Главное что LetsEncrypt от товарища из АНБ Ну ставь от нашего товарища: - https://opennet.ru/56830-tls - https://habr.com/ru/articles/968218/

2.36, Аноним (36), 21:33, 15/12/2025 [^] [^^] [^^^] [ответить]	+/–
Ставишь самоподписной сертификат и тебе никто не указ.

1.11, Аноним (11), 20:09, 15/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Контактные данные, которые получены с проверкой DNSSEC, всё ещё оставят валидными методами связи? Или этот CA картель помимо акции "обновляй свой сертификат каждый день, а то нам тебя отзывать неудобно если ты нам не понравился" решили ещё и методы обновления заколотить до "вот тебе curl certbot \| sudo bash -, других способов получить сертификат мы тебе не дадим"?

2.25, нах. (?), 20:44, 15/12/2025 [^] [^^] [^^^] [ответить]

+/–

Ну похоже что именно в этом и цель.

Уничтожить все методы, которые _действительно_ подтверждали владение доменом и которые не получится использовать перехватив твой траффик на пару секунд.

Возможность проверки сертификата (а не слепой веры в CA) уже успешно уничтожили.

И все под видом заботки о безопастносте, видидити, видити - оно целый один раз сломалось в никому ненужном домене! Запритить! (что LE не один раз выдавала сертификаты кому попало - разумеется этодругое)

1.12, 12yoexpert (ok), 20:11, 15/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
цифровой гулаг всё ближе. подумываю о переходе на http

2.14, Аноним (11), 20:13, 15/12/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Скорее на https с самоподписанным сертом. Последний можно хоть в DNS запись добавить для удобства.

3.16, Аноним (16), 20:18, 15/12/2025 [^] [^^] [^^^] [ответить]	+2 +/–
А как?

4.19, Аноним (11), 20:26, 15/12/2025 [^] [^^] [^^^] [ответить]	+/–
> А как? Ну, самый тупой вариант, просто потому-что я не изучил вопрос - в TXT запись в base64 закодировать. Почти так же, как cloudflare свой ECH ключик распространяет.

5.29, нах. (?), 20:49, 15/12/2025 [^] [^^] [^^^] [ответить]	+/–
она его криптографически-надежно распространяет. Минусы этого решения - отсутствие хотя бы одного днс-сервера без историй уязвимостей в криптографической части и при этом пригодного в качестве собственно сервера.

6.31, Аноним (11), 21:11, 15/12/2025 [^] [^^] [^^^] [ответить]	+/–
Хз в плане проблем с криптой, мне кажется подписывающую часть можно вообще вынести в отдельный скрипт который openssl дёргать будет, всё равно эти записи кэшируются и обновляются довольно редко. А в плане удобства... это да, настроить BIND так, чтобы потом ещё был уверен, что всё правильно, достаточно тяжело.

3.28, нах. (?), 20:46, 15/12/2025 [^] [^^] [^^^] [ответить]

+/–

> Скорее на https с самоподписанным сертом.

замумукаешься обновлять каждые 25 минут. А сертификаты сроком жизни 30 - запритить как небезопастные.

Так что я тоже уже за http без s.

4.34, Аноним (11), 21:15, 15/12/2025 [^] [^^] [^^^] [ответить]	+/–
> замумукаешься обновлять каждые 25 минут. А сертификаты сроком жизни 30 - запритить как небезопастные. Адекватные браузеры всё ещё позволяют нажать "запомни этот серт для этого домена". Всё остальное, что не позволяет пользователю разрешить вручную/ перенастроить разрешённые серты - это и так уже потерянная история.

4.39, 12yoexpert (ok), 21:47, 15/12/2025 Скрыто ботом-модератором [к модератору]	+/–

2.33, Аноним (33), 21:13, 15/12/2025 [^] [^^] [^^^] [ответить]	+/–
хромог http уже не открывает вроде, не?

3.38, 12yoexpert (ok), 21:39, 15/12/2025 [^] [^^] [^^^] [ответить]	+/–
а не пофиг, что там не открывает браузер без uBO?

2.42, Аноним (42), 21:55, 15/12/2025 [^] [^^] [^^^] [ответить]	+/–
Переходи на гипертекстовый фидонет.

1.22, Аноним (22), 20:31, 15/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
>была продемонстрирована возможность получения TLS-сертификатов для чужих доменов в зоне ".mobi" путём захвата устаревшего WHOIS-сервиса регистратора данной доменной зоны. Может, все таки, проблема не в процедуре верификации, а в захвате WHOIS-сервиса

1.32, Аноним (32), 21:12, 15/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Может пора форкнуть уродов? Завести для своих сайтов свой CA, на котором распространять свои сборки браузеров.

2.35, Аноним (11), 21:19, 15/12/2025 [^] [^^] [^^^] [ответить]	+/–
На ПК это ещё фиксится. А вот на всяком эмбед шлаке без нормального шелла для юзера - вас спросить забыли, какому CA вы доверяете.

2.40, Анноним (?), 21:49, 15/12/2025 [^] [^^] [^^^] [ответить]	+/–
> Может пора форкнуть уродов? Ну форкни, что дальше? Будешь делать бравузер "от обpыганов для обpыганов"? Не, на опеннетике конечно зайдет, это даже не вопрос.

2.41, Аноним (42), 21:52, 15/12/2025 [^] [^^] [^^^] [ответить]	+/–
Максут, завязывай бухать. Ты уже это сделал года три назад.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: