Amazon 인증서 관리자 ("내 도메인의 도메인 등록 기관 전자 메일로 보낸 요청을 만들었습니다.") 및 Lets-Encrypt의 인증서는 도메인 유효성 검사 (DV) 인증서입니다.
이러한 인증서는 인증서가 요청되는 호스트 이름의 효과적인 제어를 확인하여 발급 될 수 있습니다. 인증서는 도메인 이름 (또는 하위 도메인)을 제어하지 않고 발급 될 수 없습니다.
ACM은 전자 메일 확인 ... 메시지를 도메인 연락처 (WHOIS)와 도메인 이름 자체의 여러 연락처에 보내 승인을 요청합니다. 확인 응답을 사용하면 CA는 도메인을 제어하는 엔티티가 인증 요청을 승인했다고 가정 할 수 있습니다.
이 응용 프로그램에서 Lets-Encrypt는 아마도 파일 기반 확인을 사용합니다. 이 서비스는 "nonce"파일을 생성합니다.이 파일의 내용은 근본적으로 의미가 없으며 다른 목적에는 쓸모가 없지만 동시에 예측할 수없고 비밀입니다. 이 파일은 서비스가 지정한 웹 서버의 고유 한 경로에 배치 된 다음 인터넷을 통해 파일을 가져 오려고 시도합니다. 아마도 알 수 없거나 문서화되지 않은/지리적으로 분산되어있는 원본 IP 주소에서 가져올 수 있습니다. 악의적 인 사용자는 파일이 진정으로 사이트에 있음을 서비스에 납득시킬 수 있습니다). nonce 파일이 발견되어 내용이 손상되지 않으면 서비스는 도메인을 제어하는 엔티티가 인증 요청을 승인했다고 간주 할 수 있습니다.
일부 서비스 (예 : 간디)는 사이트 유효성 검사의 세 번째 형식을 추가적으로 지원하며 사이트에서 특정 DNS 레코드를 만드는 데 사용하는 nonce 값이 제공됩니다. 예측할 수없는 내용을 가진이 예측할 수없는 기록의 존재로 인해 서비스는 인증서 요청이 도메인을 제어하는 엔티티에 의해 승인되었다고 결론을 내릴 수 있습니다.
도메인 유효성 검사는 웹 사이트 인증서의 유효성 검사 중 가장 낮은 수준이며 유효성 검사 수준이 더 높은 인증서와 달리 조직이 실제로 유효성을 검사하지 않았기 때문에 결과 인증서 자체가 인증서가 발급 된 실제 조직을 식별하지 않습니다. 도메인의 제어 만 가능했습니다.
상대적으로 새로운 표준 인 Certificate Authority Authorization DNS 레코드는 도메인의 DNS 레코드에 CAA 레코드가있는 경우 특별히 나열되지 않은 CA의 인증서 발급을 차단합니다.
업데이트 : 2017년 11월 22일에, ACM 그것이 내가 위의 언급 한 "세 번째"옵션 DNS를 통해 도메인 유효성 검사를 할 수있는 기능을 추가했다 announced.질문이 원래 질문을 받았을 때 ACM은 전자 메일 유효성 검사 만 지원했습니다.