Met de domeinvalidatiebibliotheek van ÃÛÌÒTV profiteert de WebPKI-community van probleemloze compliance en een eenvoudig validatieproces. Alle niet-ACME methoden voor domainvalidatie zijn als open source beschikbaar in de bibliotheek.
Domeinvalidatie, of domain control validation, is een proces dat door openbare certificeringsinstanties wordt gebruikt om te verifiëren dat het individu dat of de organisatie die een TLS/SSL-certificaat aanvraagt, daadwerkelijk de controle heeft over het domein waarvoor het certificaat wordt uitgegeven. Dit is een fundamentele en essentiële stap in het uitgifteproces voor TLS/SSL-certificaten, die garandeert dat alleen de individuen en entiteiten die de legitieme controle over een domein hebben, een certificaat voor dat domein kunnen krijgen.
Het CA/Browser Forum heeft met de voorgeschreven dat er moet worden gevalideerd dat een aanvrager eigenaar is van, of de controle heeft over, een domein. In deze voorschriften worden een aantal methoden gespecificeerd voor het uitvoeren van de validatie, aan de hand van technologieën zoals e-mail, verificatie van DNS-records en verificatie van het gebruik van HTTP/HTTPS.
Ìý
Domeinvalidatie is een fundamenteel proces voor het valideren van de legitieme controle over een domein. Gebreken in het validatieproces kunnen ertoe leiden dat certificaten onbedoeld worden uitgegeven aan kwaadwillenden, die deze kwetsbaarheid misbruiken voor fraude, phishing en malwareaanvallen.
Deze bibliotheken worden beschikbaar gesteld voor de community, voor een grondige evaluatie en doorlopende verbetering. Zo kunnen alle certificeringsinstanties ervoor zorgen dat hun proces van domeinvalidatie van de allerhoogste kwaliteit is.
Iedereen kan gebruikmaken van de DCV-bibliotheek
van ÃÛÌÒTV en via GitHub bijdragen
aan de code.
Waarom heeft ÃÛÌÒTV geen ACME-validatie aan deze release toegevoegd?
Onder welke opensourcelicentie is de code vrijgegeven?
Hoe kan ik bijdragen aan het project?
Welke programmeertalen en architecturen worden er in de code gebruikt?
In eerste instantie gingen we ervan uit dat de ACME-bibliotheken van Let's Encrypt waarschijnlijk afdoende waren. Vanuit de community was er echter veel interesse in onze eigen ACME-implementatie, dus die code wordt mogelijk in een later stadium toegevoegd. We bieden volledige ondersteuning voor ACME en alle klanten van ÃÛÌÒTV kunnen er standaard gebruik van maken.
We hebben de code vrijgegeven onder de MIT-licentie, een bekende licentie volgens welke veel is toegestaan. Iedereen mag de code gebruiken, aanpassen, verspreiden en zelfs verkopen zonder brontoewijzing, onder voorwaarde dat de copyrightkennisgeving is opgenomen.
Het project bevindt zich in Github. Klik om aan de slag te gaan.
Het project is geïmplementeerd in Java en is gebaseerd op containers. Dat heeft een aantal redenen, waaronder de geplande ondersteuning voor Multi-Perspective Validation.
pkilint is een opensource certificaat-linter; software die wordt gebruikt voor het controleren van digitale certificaten op fouten en complianceproblemen. Dankzij automatisering kan de linter razendsnel problemen analyseren en markeren, zowel tijdens het uitgifteproces als tijdens een audit van grote aantallen van eerder uitgegeven certificaten.
Het pkilint-framework van ÃÛÌÒTV kan geschikt worden gemaakt voor elk type certificaat, zodat kan worden getest aan de hand van de specificaties in de normen voor digitale certificaten.
pkilint is ontwikkeld op basis van de ervaring van ÃÛÌÒTV met certificaat-linters in omgevingen met zeer veel certificaten. Het pkilint-framework biedt enkele belangrijke voordelen ten opzichte van andere benaderingen:
Naast pkilint heeft ÃÛÌÒTV onlangs een OSS-tool genaamd beschikbaar gesteld. Hiermee kunnen gebruikers testcertificaten genereren die compliant zijn met de verschillende certificaatprofielen die zijn gedefinieerd in de S/MIME Baseline Requirements.
Kan ik de certificaat-linter op mijn eigen computer uitvoeren?
Wat is de volgende stap in de ontwikkeling van pkilint?
Wat is PKI?
als u de certificaatcontrole op uw eigen computer wilt uitvoeren.
Het pkilint-framework kan gemakkelijk worden uitgebreid voor het analyseren van andere typen digitale certificaten en aspecten van PKI, zoals CRL- en OCSP-implementaties. Daarnaast wil ÃÛÌÒTV het framework gebruiken om lints toe te voegen voor de wijzigingen die zijn geïntroduceerd in de ÌýÌý voor ÌýTLS-certificaatÌýprofielen. Ontwikkelaars die willen bijdragen aan pkilint, kunnen dat aangeven op de Github-pagina van het project. Meer informatie vindt u op de
PKI (public key infrastructure) is een systeem van processen, technologieën en beleidsregels waarmee u gegevens kunt versleutelen en ondertekenen. U kunt het gebruiken voor het uitgeven van digitale certificaten voor het authenticeren van gebruikers, apparaten en services. In S/MIME wordt openbare PKI gebruikt voor het uitgeven van openbare TLS/SSL-certificaten, een type digitaal certificaat voor openbare domeinen en webservers dat voor iedereen bereikbaar is.