Domain Validation
Domain Validation (DV, валидация домена) — это один из трёх основных типов проверки при выдаче SSL/TLS-сертификата, при котором удостоверяющий центр (УЦ) подтверждает только право заявителя управлять определённым доменным именем. DV-сертификаты являются самым простым, быстрым и дешёвым способом включения HTTPS-шифрования на веб-сайте, не требующим проверки юридического статуса организации или личности владельца.
Процесс валидации
Процедура Domain Validation автоматизирована и занимает от нескольких минут до нескольких часов. УЦ проверяет контроль над доменом одним из следующих способов:
- По электронной почте: УЦ отправляет письмо с кодом подтверждения на один из стандартных административных адресов домена (например,
admin@,webmaster@,postmaster@,hostmaster@). Владелец должен перейти по ссылке или ввести код. - DNS-запись: Заявитель создаёт уникальную TXT-запись в DNS-зоне домена. УЦ проверяет её наличие.
- HTTP-файл: На сервере размещается файл со специальным содержимым по известному пути (например,
http://domain/.well-known/pki-validation/`). УЦ запрашивает этот файл. - CNAME-запись: УЦ может запросить создание CNAME-записи, указывающей на сервер УЦ, что также подтверждает контроль.
Никакие документы, подтверждающие юридический статус или личность, не требуются. После успешной проверки сертификат выдаётся автоматически.
Отличия от других типов сертификатов
Domain Validation — низший уровень проверки среди трёх типов сертификатов X.509:
- DV (Domain Validation): Подтверждает только домен. Не содержит информации о владельце. Выдаётся автоматически.
- OV (Organization Validation): Подтверждает домен и организацию. УЦ проверяет регистрационные данные компании (например, выписку из ЕГРЮЛ). В сертификате отображается название организации.
- EV (Extended Validation): Самый строгий тип. Подтверждает домен, организацию и её юридический статус. В браузере отображается зелёная строка адреса или название организации. Требует ручной проверки документов.
DV-сертификаты не отображают название организации в строке браузера, что снижает доверие пользователей, но достаточно для базового шифрования.
Применение
DV-сертификаты используются в сценариях, где не требуется подтверждение юридического статуса:
- Личные блоги и сайты: Для шифрования трафика без раскрытия личности владельца.
- Небольшие интернет-магазины: Для защиты данных клиентов при передаче (например, при оформлении заказа).
- API и поддомены: Для защиты внутренних или публичных API, где не требуется идентификация организации.
- Тестовые и staging-среды: Для быстрой настройки HTTPS на временных серверах.
- Сайты с низким уровнем доверия: Например, форумы, сайты-визитки, информационные порталы.
Преимущества и недостатки
Преимущества:
- Быстрота: Выдача занимает минуты, не требует ожидания проверки документов.
- Низкая стоимость: Часто бесплатно (например, Let’s Encrypt) или значительно дешевле OV/EV.
- Автоматизация: Полностью автоматизированный процесс, легко интегрируется с системами управления сертификатами (например, ACME-протокол).
- Поддержка: Работает во всех современных браузерах и операционных системах.
Недостатки:
- Отсутствие идентификации: Пользователь не видит, кому принадлежит сайт, что повышает риск фишинга (злоумышленник может получить DV-сертификат на подставной домен).
- Низкий уровень доверия: Для коммерческих сайтов, банков, государственных учреждений DV-сертификаты не рекомендуются, так как не подтверждают юридическую личность.
- Ограниченная поддержка: Некоторые старые браузеры или мобильные устройства могут не доверять DV-сертификатам от некоторых УЦ.
Удостоверяющие центры
DV-сертификаты выпускаются многими УЦ. Наиболее известные:
- Let’s Encrypt: Бесплатный, автоматизированный, некоммерческий УЦ. Выпускает только DV-сертификаты. Широко используется для малых и средних сайтов.
- Comodo (Sectigo): Крупный коммерческий УЦ, предлагает DV-сертификаты за плату.
- DigiCert: Премиум-класс, выпускает DV-сертификаты, но чаще используется для OV/EV.
- GlobalSign: Предлагает DV-сертификаты для базового шифрования.
- GoDaddy: Популярный регистратор доменов, выпускает DV-сертификаты.
Безопасность и критика
Domain Validation критикуется за уязвимость к фишингу. Злоумышленник может зарегистрировать домен, похожий на легитимный (например, g00gle.com), получить DV-сертификат и разместить на нём поддельную страницу входа. Браузер покажет значок замка, что создаёт ложное чувство безопасности у пользователя.
В 2020 году исследователи выявили, что некоторые УЦ выдают DV-сертификаты на домены, содержащие символы, визуально неотличимые от латиницы (омоглифы), что используется для фишинга. В ответ на это CA/Browser Forum (организация, устанавливающая стандарты для SSL-сертификатов) ввёл правила, запрещающие выдачу сертификатов на домены, содержащие смешанные наборы символов.
Правовой статус в России
В Российской Федерации деятельность по выпуску SSL-сертификатов регулируется Федеральным законом «Об информации, информационных технологиях и о защите информации». УЦ, аккредитованные Минцифры России, могут выпускать сертификаты, соответствующие требованиям российского законодательства. Однако DV-сертификаты от иностранных УЦ (например, Let’s Encrypt) не имеют юридической силы в России, но технически продолжают работать. В 2022 году в связи с санкциями некоторые иностранные УЦ прекратили выдачу сертификатов российским пользователям, что привело к росту популярности российских УЦ (например, Национальный УЦ, «КриптоПро»).
История
Domain Validation появился в начале 2000-х годов как упрощённая альтернатива OV-сертификатам. Первоначально УЦ требовали ручной проверки, но с развитием автоматизации процесс стал полностью автоматическим. В 2015 году Let’s Encrypt запустил бесплатный DV-сертификат, что привело к массовому внедрению HTTPS на миллионах сайтов. К 2023 году DV-сертификаты составляют более 90% всех выпускаемых SSL-сертификатов.
Источники
- CA/Browser Forum. «Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates».
- Let’s Encrypt. «How It Works» (официальная документация).
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- RFC 5280 — Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile.
- Исследование «Domain Validation: The Weakest Link in SSL/TLS» (2020, Университет Карнеги — Меллон).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →