Le Forum CA/B approuve une nouvelle méthode de vérification du contrôle de domaine utilisant l’extension ALPN

Le Forum CA/B, organisme de réglementation du secteur des certificats SSL, a adopté la proposition SC33 à la majorité des voix.

Comme le suggère la proposition, la méthode de vérification de la propriété d’un domaine (à l’aide de nombres aléatoires) énoncée dans la clause 3.2.2.4.10 est désormais obsolète. Cette clause a été remplacée par une nouvelle clause 3.2.2.4.20 qui vous permet de vérifier la propriété du FQDN à l’aide de l’extension ALPN.

Motifs du changement

En janvier 2018, une vulnérabilité a été découverte dans la méthode de validation de domaine ACME TLS-SNI-01, principale méthode utilisée pour la mise en œuvre de la clause 3.2.2.4.10 et appliquée malgré les problèmes existants. ALPN est une alternative à la validation ACME TLS-SNI-01 ; elle a été normalisée par l’IETF sous la référence RFC 8737. Pour cette raison, le Forum CA/B a décidé d’abandonner la méthode 3.2.2.4.10 potentiellement non sécurisée en faveur de la nouvelle méthode 3.2.2.4.20.

La proposition ne contient aucun détail sur la période de transition spécifiée pour la méthode de validation 3.2.2.4.10. Les vérifications antérieures effectuées à l’aide de cette méthode, ainsi que les données de validation obtenues en l’utilisant, ne doivent pas être utilisées pour la délivrance de certificats.

Cette proposition limite également l’utilisation d’anciens noms de domaine complets (FQDN) validés : de nouvelles validations sont requises pour différents sous-domaines et les validations génériques ne sont pas autorisées.

Abonnez-vous à notre lettre d’information et rejoignez nos groupes de réseaux sociaux pour vous tenir au courant de l’actualité du monde SSL !