Buypass ID Manager med forbedret støtte for domenevalidering fra 14. juni 2023

Introduksjon

Vi gjør endringer i Buypass ID Manager for å gjøre det enklere og raskere for brukerne å få utstedt TLS-sertifikater. Dette gjør vi ved å automatisere og tilby større grad av selvbetjening av det vi kaller domenevalidering. Vi sjekker her at den som skal ha et TLS-sertifikat faktisk har anledning til å bruke domenenavn som skal inn i sertifikatet.

For å kunne bestille et TLS-sertifikat fra Buypass, må organisasjonen som skal ha sertifikatet ha inngått en Abonnentavtale med oss og vi benytter heretter begrepet Abonnent om den som har inngått en slik avtale og som sertifikatet skal utstedes til. Den som bestiller TLS-sertifikater i Buypass ID Manager representerer en eller flere slike abonnenter.

Når vi skal utstede TLS-sertifikater må vi følge standarder utarbeidet av CA/Browser forum som vi er pålagt å følge av nettleserne. Eiere av domener skal være trygge på at deres domener bare brukes i TLS-sertifikater dersom representanter som kontrollerer deres domener har gitt tillatelse. Det er mange måter dette kan gjøres på, men dette må skje i henhold til standardene vi er pålagt å følge.

Metoder som kan benyttes for domenevalidering inkluderer:

e-post til domenekontakt, dvs vi sender en e-post til en representant for domeneeier som kan godkjenne bruk av domenet
bruk av DNS, her ber vi sertifikatbestiller om å sørge for at en kode vi genererer blir lagt ut i en DNS-record som bevis for at domenet kan brukes

Når vi har fått verifisert at domenet kan brukes av Abonnenten, kan vi utstede sertifikater til Abonnenten med det aktuelle domenet. En slik godkjenning kan gjenbrukes i inntil 398 dager i henhold til standardene.

Hva skjer nå?

I denne omgang gjør vi noen valg på vegne av brukerne (Abonnentene) når det gjelder hvordan domenevalidering blir gjort for domener som inngår i sertifikater som bestilles. Dette beskrives nærmere i de neste kapitler.

Innhold:

1 Introduksjon
- 1.1 Hva skjer nå?
2 Domenevalidering via e-post til domenekontakt
3 Konsekvenser av endringen
4 Bruk av DNS for domenevalidering
5 Hva skjer videre?
6 Mer informasjon om domenevalidering
7 Spørsmål og svar

Domenevalidering via e-post til domenekontakt

For norske domener (som slutter med '.no') gjør vi et oppslag mot NORID (som driver registeret for norske domenenavn) for å finne kontaktinformasjon til eieren av domenet. Vi benytter e-postadressen vi finner der som domenekontakt for å be om tillatelse til bruk av domenet.

For alle andre domener benytter vi en predefinert e-postadresse som domenekontakt. Vi benytter hostmaster@<registrert domene>, der <registrert domene> er den delen av et domenenavn som finnes i registre som NORID. For eksempel så vil domenenavn som 'www.buypass.no’ og ‘api.acme.buypass.no’ begge benytte samme <registrerte domene> = ‘buypass.no’.

Vi sender en e-post til domenekontakten (for hvert domene som skal benyttes i sertifikatet) og ber om en godkjenning om bruk av domenet. En godkjenning gis til Abonnenten som skal ha sertifikatet og varer i inntil 398 dager. Abonnenten kan deretter bestille nye sertifikater på samme domene inntil denne godkjenningen utløper uten at vi ber om en ny godkjenning. Dette er i henhold til standardene og bidrar til en smidig prosess for alle parter.

Domenekontakt har anledning til å godkjenne eller avvise en slik forespørsel om bruk av domenet hos en Abonnent. Dersom domenekontakt avviser en slik forespørsel, er det lite vi kan gjøre og i så fall bør Abonnent ta kontakt med domeneeier for å avklare dette forholdet.

Det er viktig å være oppmerksom på at en slik godkjenning gis til en definert Abonnent som har inngått en Abonnentavtale med Buypass. Det er ikke slik at denne automatisk gis til organisasjonen som har inngått en slik avtale, kun til den Abonnenten som skal ha sertifikatet. Det er heller ikke mulig å overføre en slik godkjenning til andre Abonnenter som organisasjonen eventuelt kan ha hos Buypass.

For hver e-post vi sender til domenekontakt vil vi også varsle den som har bestilt sertifikatet slik at dere vet hva som skjer. Her vil vi også forklare at en slik godkjenning vil kunne påvirke leveransetiden for sertifikatet. Dette er forhold som ligger utenfor vår kontroll som sertifikatutsteder.

Konsekvenser av endringen

Fra 14. juni 2023 vil vi aktivere denne domenevalideringen for alle TLS-sertifikatbestillinger gjort i Buypass ID Manager.

Vi vil fortsatt tilby gjenbruk av eksisterende domenevalideringer for allerede godkjente domener inntil disse utløper i henhold til gjeldende praksis. Men for alle andre domener vil vi, som hovedregel, automatisk sende ut slike e-poster til domenekontakter som et ledd i automatisering og selvbetjening av TLS-sertifikatbestillinger. Vi innfører imidlertid et lite unntak fra denne hovedregelen - se bruk av DNS for domenevalidering nedenfor.

Mange av dere benytter allerede manuelle varianter av denne form for domenevalidering der vi sender en e-post til en domenekontakt etter en dialog med dere. Domenekontakt må da godkjenne eller avvise en slik forespørsel ved å svare på e-posten. Dette blir nå erstattet med løsningen beskrevet over.

Dersom dere ønsker å få til en mest mulig smidig prosess, er det fint om dere sørger for at de domenekontaktene vi benytter er klar over dette og kan reagere raskt dersom vi ber om en godkjenning.

Bruk av DNS for domenevalidering

Noen av dere benytter også DNS der Abonnenten mottar en kode fra oss som de må be DNS-operatør som kontrollerer domenet å legge inn i en DNS TXT-record. Vi gjør oppslag mot DNS og verifiserer at koden vi har sendt faktisk ligger der og benytter dette for å bekrefte at Abonnenten har fått godkjent bruk av domenet av en representant for domeneeier (DNS-operatøren).

I denne omgang vil vi ikke tilby automatisert støtte for bruk av DNS for domenevalidering, men vi vil sørge for at dere som har brukt DNS til domenevalidering tidligere får en mulighet til å fortsette med dette. Her gjør vi et unntak fra hovedregelen med domenevalidering via e-post. Vi vil istedet iverksette en manuell domenenvalidering med bruk av DNS på samme måte som tidligere. Dersom dere får en epost fra oss der vi ber dere legge en slik kode inn i DNS, så er dette fordi dere er identifisert som en bruker av DNS for domenevalidering og vi antar at dere ønsker å fortsette med dette. Dersom dette ikke er korrekt og dere foretrekker domenevalidering via e-post, så må dere ta kontakt med oss og vi vil sørge for at dette blir håndtert.

Hva skjer videre?

I neste omgang vil vi tilby brukerne større fleksibilitet. Vi vil tilby et større spekter av metoder for domenevalidering og gjøre brukerne i stand til å velge metode samt foretrukne e-epostadresser selv.

Mer informasjon om domenevalidering

For mer informasjon om hvilke domenevalideringsmetoder sertifikatutstedere kan bruke, se CA/Browser forum Baseline Requirements kap 3.2.2.4: https://cabforum.org/baseline-requirements-documents/.

Spørsmål og svar

Spørsmål	Svar
Hva er domenekontakt for .no-domener?	Domenekontakt man finner i NORID som registrert ‘registrant e-post’ (e-postadresse til innehaver av domenet), se https://www.norid.no/no/domeneoppslag/hvem-har-domenenavnet/. For eksempel vil domenekontakt for buypass.no være legal-contact@buypass.no:
Hva er domenekontakt for andre enn .no domenenavn?	For alle andre domenenavn er domenekontakt hostmaster@<registrert domenenavn>. For eksempel er domenekontakt for www.buypass.com hostmaster@buypass.com.
Hva gjør jeg dersom jeg er usikker på om domenekontakt for .no-domene vil kunne svare?	Ta kontakt med domenekontakt og informer om hvordan Buypass vil utføre domenevalidering. Be evnt. om at e-postadressen endres til en som vil kunne svare på/godkjenne forespørsler om bruk av domene.
Hva gjør jeg dersom hostmaster@<registrert domene> ikke eksisterer eller jeg er usikker på om domenekontakt vil kunne svare?	Be domeneeier opprette hostmaster@<registrert domene> eller informer mottaker av denne om hvordan Buypass vil utføre domenevalidering. Be evnt. om at e-posten videresendes til en som vil kunne svare på/godkjenne forespørsler om bruk av domene.
Hva gjør jeg dersom jeg vet at domenekontakten som benyttes ikke vil kunne svare?	Send e-post til kundeservice@buypass.no. Be om å avvikle bruk av automatisert domenevalidering og oppgi hvilken Abonnent (organisasjonsnummer/organisasjonsnavn) og hvilket domenenavn dette skal gjelde for.
Hva gjør jeg dersom jeg har benyttet DNS for domenevalidering tidligere og ønsker å fortsette med dette?	Du trenger ikke gjøre noe, du vil da være identifisert som en som har benyttet dette tidligere og vi vil fortsette å bruke DNS for domenevalidering.
Hva gjør jeg dersom jeg har benyttet DNS for domenevalidering tidligere og ønsker å ta i bruk automatisert domenevalidering med e-post til domenekontakt?	Send e-post til kundeservice@buypass.no. Be om å avvikle bruk av DNS og oppgi hvilken Abonnent (organisasjonsnummer/organisasjonsnavn) og hvilket domenenavn dette skal gjelde for.
Hvor lenge gjenbrukes en domenevalidering?	I 398 dager.
Hva skjer med domenevalideringer som er aktive/ikke er passert levetid på 398 dager den dagen Buypass tar i bruk ny løsning?	Den gjenbrukes inntil den utløper etter 398 dager.
Hvor finner jeg informasjon om hvilke domenevalideringsmetoder Buypass kan benytte?	CA/Browser forum Baseline Requirements kap 3.2.2.4: https://cabforum.org/baseline-requirements-documents/