<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Mar 31, 2015 at 9:10 AM, Rick Andrews <span dir="ltr"><<a href="mailto:Rick_Andrews@symantec.com" target="_blank">Rick_Andrews@symantec.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Posted with permission from Will from CERT:<br>
<br>
Hi folks,<br>
<br>
We've been investigating best practices for proof of domain ownership, and it seems that we are not alone in thinking that a predefined set<br>
of email aliases is not good enough.   For example:<br>
<br>
<<a href="https://support.google.com/a/answer/60216?hl=en" target="_blank">https://support.google.com/a/answer/60216?hl=en</a>><br>
<<a href="https://support.office.com/en-ie/article/Verify-your-domain-and-change-name-servers-at-any-domain-registrar-a8b487a9-2a45-4581-9dc4-5d28a47010a2" target="_blank">https://support.office.com/en-ie/article/Verify-your-domain-and-change-name-servers-at-any-domain-registrar-a8b487a9-2a45-4581-9dc4-5d28a47010a2</a>><br>
<<a href="https://aws.amazon.com/blogs/aws/domain-verification-for-the-amazon-simple-email-service/" target="_blank">https://aws.amazon.com/blogs/aws/domain-verification-for-the-amazon-simple-email-service/</a>><br>
<<a href="https://www.zoho.com/mail/help/adminconsole/domain-verification.html" target="_blank">https://www.zoho.com/mail/help/adminconsole/domain-verification.html</a>><br>
<<a href="http://www-10.lotus.com/ldd/bhwiki.nsf/xpDocViewer.xsp?lookupName=Administering+SmartCloud+Notes%3A+Service-only+Environment#action=openDocument&res_title=Verifying_ownership_of_a_domain_SO&content=pdcontent" target="_blank">http://www-10.lotus.com/ldd/bhwiki.nsf/xpDocViewer.xsp?lookupName=Administering+SmartCloud+Notes%3A+Service-only+Environment#action=openDocument&res_title=Verifying_ownership_of_a_domain_SO&content=pdcontent</a>><br>
<br>
We suspect that Google, IBM, Microsoft, Amazon, and Zoho have thought about the security impacts of accepting insufficient proof of domain ownership.  We recommend that the CA/Browser Baseline Requirements be updated to remove the "whitelist" of predefined email aliases.  The fact that the current model requires organizations to opt in (block the ability to create certain addresses) to be protected should in and of itself be an indication that it's not ideal.<br>
<br>
<br>
Thank you,<br>
   Will Dormann<br></blockquote><div><br></div><div>While I appreciate CERT raising this issue, it does seem like we're at a bit of an impasse, doesn't it?</div><div><br></div><div>That is, CERT feels that email is unacceptable for validation.</div><div><br></div><div>What I'm surprised by is not a more general reaction from CERT, on these principals, of being opposed to DV in principle (as we know that some CAs are, and vocally so). That is, we all are aware of the issues with 11.1.1 p6 at this point, but that doesn't seem to have warranted a similar alert or a notice that some CAs are "affected".  Nor do we see an obvious discussion about the WHOIS ramifications, including private domain registrations, also affecting validation.</div><div><br></div><div>Even the proposed Validation WG changes ( <a href="https://cabforum.org/pipermail/validation/2015-March/000009.html">https://cabforum.org/pipermail/validation/2015-March/000009.html</a> ), which refines this, still makes use of a limited whitelist of URLs (in this case, it's now a /.well-known/ file, a vast improvement over "any suitable file, potentially at the customer's discretion")</div><div><br></div><div>Requiring email providers protect certain addresses is, in my mind, no different than the existing requirements that arbitrary web hosting need to do to protect their users. For example, don't allow control over the response at all if you host at a sub-path. If you host at a subdomain, enter your domain in the public suffix list to prevent arbitrary users from mounting cookie attacks. Prevent access to some headers that might be used maliciously (HSTS and HPKP come to mind, although even CSP directives can be used and abused). </div><div><br></div><div>While I'm certainly not at all strongly attached to the use of email addresses for validation, and see no inherent problems in eliminating them as a validation method (other than potential ease of use issues), I suppose I do take issue with an inconsistent evaluation of the evidence.</div></div></div></div>