Többé nem lehetséges WHOIS segítségével a tanúsítványt hitelesíteni, alternatívákat javasolunk
(2018. augusztus 18.) A Hitelesítő Hatóságok megszüntették annak a lehetőségét, hogy a tanúsítványok manuális ellenőrzése a WHOIS-on keresztül történjék, ami a tanúsítványok hitelesítése szempontjából használhatatlanná vált a GDPR bevezetése óta, mivel az ott fellelhető e-mail címek rejtetté váltak az adatvédelmi rendelet értelmében. Ez okból kifolyólag ennél jóval elegánsabb és megbízhatóbb alternatív módszereket ajánlunk a tanúsítványok ellenőrzése, hitelesítése érdekében. .
A domain tanúsítványok már nem hitelesíthetőek manuálisan
A tanúsítványok kiadására vonatkozó szabályokat a Baseline követelmények(Baseline requirements) határozzák meg, amelyek 2018. augusztus 1-jéig a domainekhez igényelt SSL tanúsítványokat manuálisan is hitelesíthetővé, ellenőriztethetővé tették az adott domain WHOIS szerinti e-mail kapcsolata által. Egy másik lehetőség az ellenőrzésre az úgynevezett "jogi véleménynyilvánítás" („legal opinion letter”), egy ügyvéd vagy jegyző által aláírt dokumentum. Ezeket a lehetőségeket immár eltávolították. A Hitelesítési Hatóságok már 2016-ban törölték az előzőleg megengedett „más módszerű” hitelesítési lehetőséget, amely egyéni mérlegelési jogkörrel ruházta fel őket a döntéshozatalban.
Ennek a lépésnek az oka minden bizonnyal az ellenőrzés, hitelesítés nagyobb biztonsága érdekében tett erőfeszítés, de valószínűleg közrejátszik az is, hogy a WHOIS a domainek tulajdonosainak információit már nem jeleníti meg az eddigi formában.
Mi történt a WHOIS kapcsolataival?
Bejegyzésünk olvasóit bizonyára nem kerülte el az európai GDPR szabályozás májusi bevezetése és kezdete. Ezzel összefüggésben minimalizálták az összes rendelkezésre álló információt (gyakran személyes adatokat) a különböző szolgáltatások felhasználói számára (az Adatalanyok Szabályzata szerint). Ez a regisztrált domainek esetében leginkább a személyes adatok anonimizálásában vagy elrejtésében mutatkozott meg, beleértve a domain tulajdonosának e-mail címét is.
Ez a napi gyakorlatban azt jelenti, hogy megszűnt annak lehetősége, hogy az egyes domainekhez igényelt SSL tanúsítványokat a domain tulajdonosának e-mail címén keresztül hitelesíthető. Például egyes európai országok domain regisztrátorai, például a NIC.CZ tartományi adminisztrátora elrejtette a domainekre vonatkozó összes személyes kapcsolattartási információt. A tulajdonos e-mailjét nem lehet látni, ezért külön engedélyeztetni kell annak láthatóságát. Más TLD-adminisztrátorok elrejtették vagy anonimizálták az adatokat, ami miatt az ezen keresztül történő ellenőrzések sikertelenek lettek. Néhány TLD-t esetében, például az EU domainjeinél, soha volt lehetséges automatikusan kérni a domain tulajdonos e-mailjére a hitelesítést, mert az az úgynevezett Captcha védelem megakadályozta ezt.
A domain e-mailen történő ellenőrzéséhez, hitelesítéséhez csak öt címet lehet használni. Ezekre a Hitelesítési Hatóságok automatikusan elküldik az ellenőrző e-mailt, és feltételezik, hogy ezen valamelyikének léteznie kell.
Ezen e-mail címek a következők:
- Admin@domain.tld
- Administrator@domain.tld
- Webmaster@domain.tld
- Hostmaster@domain.tld
- Postmaster@domain.tld
Az e-mailek elküldése a domain tulajdonosához tartozó és létezni vélt e-mail címre gyakran nem célravezető. Ezért ajánljuk az alternatív ellenőrző, hitelesítő módszereket, amelyek sok esetben egyszerűbbek és gyorsabbak. A Hitelesítő Hatóság rendszeresen és rövid időközönként ellenőrzi a DNS-rekordot vagy a fájl jelenlétét az FTP-n. Az alternatív hitelesítés perceken belül véghezvihető.