返回
-
解决方案
返回
数字信任:
企业IT、PKI与身份
- 购买
-
洞见
返回
-
合作伙伴
返回
- 支持
- 联系我们
- 语言
深入解析:DigiCert开源
DigiCert DCV库
DigiCert开源域名控制验证
DigiCert的域名控制验证(DCV)库通过减少合规问题并简化验证流程,从而使WebPKI社群受益。所有非ACME域名验证(DV)方法都在库中作为开源提供。
什么是域名控制验证?
域名控制验证(也称为域名验证)是公共证书颁发机构 (CA)所使用的一种流程,用于验证请求TLS/SSL证书的个人或组织是否对拟颁发证书的域名具有控制权。这是颁发TLS/SSL证书流程中的一个根本性的关键步骤,它确保只有对域名拥有合法控制权的个人或实体才能获得此域名的证书。
CA/浏览器论坛制定了CA/B论坛基线要求,以验证申请人是否对某个域名拥有所有权或控制权。这些要求规定了使用各种技术开展此验证的一系列方法,包括电子邮件、DNS记录验证,以及HTTP/HTTPS验证。
严格的域名验证的重要性
域名验证是验证域名合法所有者的根本性流程。验证流程中的缺陷可能导致向恶意分子错误地颁发证书,这些恶意分子可以利用此漏洞开展欺诈、网络钓鱼和恶意软件活动。
将这些库提供给社群以进行彻底评估和持续改进,将确保所有的证书颁发机构在域名验证流程中保持高质量。
常见问题与解答
为什么DigiCert未将ACME验证纳入此版本?
代码在哪个开源许可证下发布?
我如何参与此项目?
代码中使用了哪些编程语言和架构?
最初,我们认为Let's Encrypt ACME库可能就足够了。然而,社群对我们的ACME实施非常感兴趣,因此我们可能会在后续添加此代码。我们完全支持ACME,而且所有DigiCert客户默认都可以访问ACME。
我们已经根据MIT许可证发布了代码,这是一个知名的不设限的许可证。只要包含版权声明,所有人都可以免费使用、修改、分发甚至销售代码,而无需标明出处。
此项目位于GitHub。点击此处以开始使用。
此项目使用Java和容器化实施。出于多种原因,我们一直在研究容器化,包括为支持多视角验证做准备。
PKILINT
用于PKI结构验证的框架
pkilint是一种开源的证书检查工具——即一种用于分析数字证书错误或合规问题的软件。通过使用自动化,linter可以在证书颁发流程中快速分析并标记问题或作为对以前颁发的证书大型目录一致性进行审计的一种方式。
是什么让pkilint与众不同?
DigiCert的pkilint框架可以适应任何证书类型,以根据适用于数字证书格式的标准中所概述的规范进行测试。
pkilint基于DigiCert在高容量环境中使用证书检查工具的经验而开发。与现有方法相比,pkilint框架具有几个优点:
- 它基于经过验证的ASN.1分析程序而构建,能进行非常详细的、能检测ASN.1编码错误的检查。
- 从头开始构建,以支持针对不同标准和信任框架的多种不同类型的PKI结构(包括证书、CRL和OCSP响应)的代码分析。
- 丰富的验证逻辑对ASN.1文档的每个字段进行分析,并确定要执行哪些测试集。这能实现更快、更彻底的测试,并缩短开发时间。
除了pkilint,近期DigiCert还提供了一个名为SMBR-Cert-Factory的OSS工具,能让用户生成符合S/MIME基线要求中定义的不同证书配置文件的测试证书。
常见问题与解答
我能在本地计算机上运行证书检查工具吗?
pkilint开发的下一步工作是什么?
PKI是什么?
要在您的本地计算机上执行证书检查,请在GitHub中下载开源证书检查工具。
pkilint框架易于扩展,可分析其他类型的数字证书和PKI的其他方面,例如CRL和OCSP实施。DigiCert还计划使用此框架添加lint,以包含 CA/B论坛决议SC-62 对 TLS证书 配置文件所引入的更改。有兴趣为pkilint做贡献的开发人员可以在此项目的GitHub页面上开展工作。如需了解更多信息,请访问位于此处的pkilint存储库
