Die Bibliothek für die Validierung der Domainkontrolle (Domain Control Validation, DCV) von ÃÛÌÒTV reduziert Compliance-Probleme und vereinfacht den Validierungsprozess für die Web-PKI-Community. Alle Nicht-ACME-Methoden für die Domainvalidierung (DV) sind in der Bibliothek als Open Source verfügbar.
Die Validierung der Domainkontrolle (auch als Domainvalidierung bezeichnet) ist ein Prozess, der von öffentlichen Zertifizierungsstellen (CAs) verwendet wird, um zu überprüfen, ob die Einzelperson oder Organisation, die ein TLS/SSL-Zertifikat beantragt, die Kontrolle über die Domain hat, für die das Zertifikat ausgestellt wird. Dies ist ein grundlegender und entscheidender Schritt bei der Ausstellung von TLS/SSL-Zertifikaten. Damit wird sichergestellt, dass nur Einzelpersonen oder Organisationen mit legitimer Kontrolle über eine Domain ein Zertifikat für diese erhalten.
Das CA/Browser Forum hat mit den Basisanforderungen festgelegt, um zu überprüfen, ob ein Antragsteller Eigentümer einer Domain ist oder die Kontrolle darüber hat. Diese Anforderungen legen eine Reihe von Ansätzen zur Durchführung dieser Validierung unter Verwendung einer Vielzahl von Technologien fest, darunter E-Mail-, DNS-Eintrag- und HTTP/HTTPS-Verifizierung.
Ìý
Die Domainvalidierung ist ein grundlegendes Verfahren zur Überprüfung des rechtmäßigen Eigentümers einer Domain. Fehler im Validierungsprozess können dazu führen, dass Angreifer fälschlich ausgestellte Zertifikate erlangen und diese Schwachstellen für Betrugs-, Phishing- und Malware-Kampagnen ausnutzen.
Indem diese Bibliotheken der Community zur Verfügung gestellt werden, um eine gründliche Evaluierung und kontinuierliche Verbesserung zu ermöglichen, wird sichergestellt, dass alle Zertifizierungsstellen ein hohes Qualitätsniveau im Domainvalidierungsprozess aufrechterhalten.
Jeder kann Zugang zur DCV-Bibliothek von ÃÛÌÒTV erhalten und über GitHub zu diesem Code beitragen.
Warum hat ÃÛÌÒTV die ACME-Validierung in diesem Release ausgelassen?
Unter welcher Open-Source-Lizenz wird der Code veröffentlicht?
Wie kann ich mich an diesem Projekt beteiligen?
Welche Programmiersprachen und Architekturen werden in dem Code verwendet?
Wir sind ursprünglich davon ausgegangen, dass die „Let's Encrypt“-ACME-Bibliotheken ausreichen würden. Die Community hat allerdings viel Interesse an unserer ACME-Implementierung bekundet, sodass wir diesen Code möglicherweise zu einem späteren Zeitpunkt hinzufügen werden. Wir bieten vollständige ±«²Ô³Ù±ð°ù²õ³Ùü³Ù³ú³Ü²Ô²µ für ACME und alle ÃÛÌÒTV-Kunden können standardmäßig darauf zugreifen.
Wir haben den Code unter der MIT-Lizenz veröffentlicht, einer bekanntermaßen sehr toleranten Lizenz. Es steht allen frei, den Code zu verwenden, zu verändern, zu verbreiten und sogar zu verkaufen, sofern der Copyright-Vermerk enthalten ist.
Das Projekt ist auf GitHub zu finden. Klicken Sie , um einzusteigen.
Das Projekt ist in Java implementiert und containerisiert. Wir haben aus verschiedenen Gründen an der Containerisierung gearbeitet, unter anderem als Vorbereitung für die ±«²Ô³Ù±ð°ù²õ³Ùü³Ù³ú³Ü²Ô²µ der Multi-Perspektiven-Validierung.
pkilint ist ein Linter für Open-Source-Zertifikate. Diese Art von Software analysiert digitale Zertifikate auf Fehler oder Compliance-Probleme. Mithilfe der Automatisierung analysiert und identifiziert der Linter Probleme in kürzester Zeit, sei es bei der Ausstellung von Zertifikaten oder als Mittel zur Überprüfung der Konformität großer Verzeichnisse bereits ausgestellter Zertifikate.
Das pkilint-Framework von ÃÛÌÒTV kann an jeden Zertifikatstyp angepasst werden, um die in den Standards für digitale Zertifikatsformate festgelegten Spezifikationen zu prüfen.
pkilint wurde auf der Grundlage der Erfahrungen von ÃÛÌÒTV beim Einsatz von Certificate Lintern in Umgebungen mit hohem Datenaufkommen entwickelt. Das pkilint-Framework bietet gegenüber den bestehenden Ansätzen einige Vorteile:
Zusätzlich zu pkilint hat ÃÛÌÒTV kürzlich ein OSS-Tool namens bereitgestellt, mit dem Nutzer Testzertifikate generieren können, die mit den verschiedenen Zertifikatsprofilen konform sind, die in den S/MIME Baseline Requirements definiert sind.
Kann ich den Certificate Linter auf meinem lokalen Computer ausführen?
Wie geht es mit der Entwicklung von pkilint weiter?
Was ist PKI?
Um eine Zertifikatsprüfung auf Ihrem lokalen Computer durchzuführen, laden Sie herunter.
Das pkilint-Framework kann für die Analyse anderer digitaler Zertifikatstypen und PKI-Aspekte wie etwa CRL- und OCSP-Implementierungen einfach erweitert werden. ÃÛÌÒTV plant außerdem, über das Framework Lints hinzuzufügen, die die Änderungen berücksichtigen, die durch den ÌýÌý für ÌýTLS-ZertifikatsprofileÌý eingeführt wurden. Entwickler, die zu pkilint beitragen möchten, können dies auf der GitHub-Seite des Projekts tun. Weitere Informationen erhalten Sie im .
Eine PKI (Public Key Infrastructure) ist ein System aus Prozessen, Technologien und Richtlinien zum Verschlüsseln und Signieren von Daten. Mit einer PKI können Sie digitale Zertifikate ausstellen, die die Identität von Nutzern, Geräten oder Diensten authentifizieren. In S/MIME wird eine öffentliche PKI verwendet, um öffentliche TLS/SSL-Zertifikate auszustellen. Diese digitalen Zertifikate für öffentliche Domains oder Webserver sind öffentlich zugänglich und können in einem öffentlichen Log erfasst werden.
Die erste Open-Source-DCV-Bibliothek ihrer Art
Die neue Open-Source-DCV-Bibliothek von ÃÛÌÒTV
Automatisierte Compliance-Tests