上一步
-
解決方案
上一步
數位信任:
企業IT、PKI與身分
- 購買
-
深入解析
上一步
-
合作夥伴
上一步
- 支援
- 聯絡我們
- 語言
深入解析:DigiCert開放原始碼
DigiCert DCV庫
DigiCert開放原始碼網域名稱控制驗證
DigiCert的網域名稱控制驗證(DCV)庫透過減少合規問題並簡化驗證流程,從而使WebPKI社群受益。所有非ACME網域名稱驗證(DV)方法都在庫中作為開放原始碼提供。
什麼是網域名稱控制驗證?
網域名稱控制驗證(也稱為網域名稱驗證)是公用憑證授權中心 (CA)所使用的一種流程,用於驗證要求TLS/SSL憑證的個人或組織是否對擬頒發憑證的網域名稱具有控制權。這是頒發TLS/SSL憑證流程中的一個根本性的關鍵步驟,它確保只有對網域名稱擁有合法控制權的個人或實體才能獲得此網域名稱的憑證。
CA/瀏覽器論壇制定了CA/B論壇基準要求,以驗證申請人是否對某個網域名稱擁有擁有權或控制權。這些要求規定了使用各種技術開展此驗證的一系列方法,包括電子郵件、DNS記錄驗證,以及HTTP/HTTPS驗證。
嚴格的網域名稱驗證的重要性
網域名稱驗證是驗證網域名稱合法擁有者的根本性流程。驗證流程中的缺陷可能導致向惡意執行者錯誤地頒發憑證,這些惡意執行者可以利用此漏洞開展詐騙、網路釣魚和惡意軟體活動。
將這些庫提供給社群以進行徹底評估和持續改進,將確保所有的憑證授權中心在網域名稱驗證流程中保持高品質。
常見問題集
為什麼DigiCert未將ACME驗證納入此版本?
程式碼在哪個開放原始碼授權下發佈?
我如何參與此專案?
程式碼中使用了哪些程式設計語言和架構?
最初,我們認為Let's Encrypt ACME庫可能就足夠了。然而,社群對我們的ACME實作非常感興趣,因此我們可能會在後續添加此程式碼。我們完全支援ACME,而且所有DigiCert客戶預設都可以存取ACME。
我們已經根據MIT授權發佈了程式碼,這是一個知名的不設限的授權。只要包含著作權注意事項,所有人都可以免費使用、修改、分發甚至銷售程式碼,而無需標明出處。
此專案位於GitHub。按一下這裡以開始使用。
此專案使用Java和容器化實作。出於多種原因,我們一直在研究容器化,包括為支援多視角驗證做準備。
PKILINT
用於PKI結構驗證的框架
pkilint是一種開放原始碼的憑證Linter——即一種用於分析數位憑證錯誤或合規問題的軟體。透過使用自動化,linter可以在憑證頒發流程中快速分析並標示問題或作為對以前頒發的憑證大型目錄一致性進行稽核的一種方式。
是什麼讓pkilint與眾不同?
DigiCert的pkilint框架可以適應任何憑證類型,以根據適用於數位憑證格式的標準中所概述的規格進行測試。
pkilint基於DigiCert在高容量環境中使用憑證Linter的經驗而開發。與現有方法相比,pkilint框架具有幾個優點:
- 它基於經過驗證的ASN.1剖析器而構建,能進行非常詳細的、能檢測ASN.1編碼錯誤的檢查。
- 從頭開始構建,以支援針對不同標準和信任框架的多種不同類型的PKI結構(包括憑證、CRL和OCSP回應)的程式碼分析。
- 豐富的驗證邏輯對ASN.1文件的每個欄位進行分析,並確定要執行哪些測試集。這能實現更快、更徹底的測試,並縮短開發時間。
除了pkilint,近期DigiCert還提供了一個名為SMBR-Cert-Factory的OSS工具,能讓使用者產生符合S/MIME基準要求中定義的不同憑證設定檔的測試憑證。
常見問題集
我能在本地電腦上進行憑證Linter嗎?
pkilint開發的下一步工作是什麼?
PKI是什麼?
要在您的本地電腦上進行憑證檢查,請在GitHub中下載開放原始碼憑證Linter。
pkilint框架易於擴充,可分析其他類型的數位憑證和PKI的其他方面,例如CRL和OCSP實作。DigiCert還計劃使用此框架添加lint,以包含 CA/B論壇決議SC-62 對 TLS憑證 設定檔所引入的更改。有興趣為pkilint做貢獻的開發人員可以在此專案的GitHub頁面上開展工作。如需瞭解更多訊息,請前往位於這裡的pkilint存放庫
