WHOIS je pre overenie certifikátov mŕtvy, odporúčame alternatívy

(15.8.2018) Certifikačné autority vyradily z možností pre overeníe manuálnu kontrolu podľa WHOIS. Ten je pre overenie certifikátov od začiatku účinnosti GDPR nepoužiteľný, pretože e-mailové adresy sú skryté. Odporúčame preto prejsť na elegantnejšie a spoľahlivejšie alternatívne overenie certifikátov.

Domény pre certifikát už nie je možné overiť manuálne

Pravidlá pre vydávanie certifikátov sú uvedené v dokumente Baseline requirements, ktorý sme už viackrát citovali v našom magazíne blog.sslmarket.cz. Do 1.8.2018 bolo možné domény použité v certifikáte overiť manuálne "pohľadom" do WHOIS. Ďalšia možnosť overenia bol tzv. "legal opinion letter", teda dokument, overený advokátom alebo notárom. Tieto možnosti boli odstránené. Už v roku 2016 bola zrušená možnosť overenia "iným spôsobom", čo certifikačným autoritám dávalo zvláštnu voľnosť pri rozhodovaní.

Dôvodom k tomuto kroku je snaha o dosiahnutie vyššej bezpečnosti overenia, ale určite aj fakt, že informácie o vlastníkovi vo WHOIS už nie je možné nájsť v požadovanom rozsahu.

Čo sa stalo s kontaktami vo WHOIS?

Čitateľom nášho magazínu určite neunikla téma európského nariadenia GDPR a májového začiatku jeho účinnosti. V súvislosti s ním boli redukované všetky dostupné informácie (často osobné údaje) používatelov rôznych služieb (podľa litery Nariadenia subjektov údajov). Pri zaregistrovaných doménach sa to prejavilo najmä anonymizáciou alebo skrytím osobných údajov vrátane e-mailovej adresy majiteľa domény.

Zo dňa na deň tak prakticky prestalo byť možné overovanie certifikátov cez e-mail majiteľa domény. Napríklad správca SK domény, SK-NIC skrýva všetky osobné údaje kontaktov, pokial ich používatelia sami nezverejnia. E-mail tak neuvidíte a museli by ste si ho ručne zverejniť. Ostatní správcovia TLD údaje skryli, alebo ich anonymizovali a v dôsledku spôsobili ich nefunkčnosť pre overenie. Pri niektorých TLD, ako je EU doména nebolo nikdy možné automaticky načítať e-mail vlastníka domény, pretože je schovaný za tzv. Captcha ochranou.

Pre overenie domény pomocou e-mailu tak bolo možné využiť len päť schránok na overovanej doméne. Na tie CA automaticky posiela overovací e-mail a predpokladá, že by nejaká z nich mohla existovať.

Jedná sa o dobre známe schránky:

Posielanie e-mailov na predpokladané a častokrát neexistujúce e-maily nie je efektívne, ako určite uznáte sami. Preto odporúčame rýchlejší a priamočiarejší postup pomocou alternatívneho overenia.