[发明专利]一种CA证书签发方法及系统

说明书

本发明公开了一种CA证书签发方法及系统。本方法为：1)域名拥有者向CA注册商代理服务器提交域名的CA证书申请；如果审核通过，则将该域名提交给CA签发指示器；2)签发指示器为该域名生成一签发记录后通知CA注册机构服务器对该域名签名，并把签名信息返回给签发指示器；3)签发指示器更新签发记录并返回成功信息给注册商代理服务器；4)注册商代理服务器将该签名信息发送给该域名拥有者；5)该域名拥有者将该签名信息发送给DNS服务器配置到对应TXT记录；6)注册机构服务器向DNS服务器查询该域名的TXT记录，如果有该域名签名信息，则将CA证书签发给该域名拥有者；否则拒绝签发CA证书。本发明能减少错发域名的发生。

技术领域

本发明涉及一种减少CA证书错发的签发方法及系统，属于计算机网络技术领域。

背景技术

CA证书通常发给被授权的用户。该证书通常绑定特定的域名，以便建立安全的TLS或SSL连接。由于CA机构经常无法判别特定用户对特定的域名是否具有关联关系或者管理关系，所以CA机构经常给一些恶意用户错误的发放特定域名的证书，而这些域名并不属于恶意用户。恶意用户通常使用一些伪造的或者非法的材料证明自己是特定域名的拥有者，而CA机构无法辨别出这些材料是伪造的或者非法的，因此错误的发放特定域名的CA证书给不拥有特定域名管理权的恶意用户。该恶意用户通常使用这些证书，装扮成这些特定域名的拥有者，提供网络服务，从而进行网络中间人攻击。

一种常用的技术是CA注册机构通过查询域名的联系人信息，给这些域名的联系人发送电子邮件或者电话进行确认。由于电子邮件和电话的查询都不能完全判定，CA证书所宣称的域名是不是和域名的真正拥有者属于同一个注册者。为了尽可能的阻止这些问题的发生，谷歌公司提出了证书透明的技术措施，并在国际技术标准组织IETF发布成为RFC6962.证书透明机制是一种事后防范机制，在证书错误的发放给恶意伪装成拥有某个域名的用户。但是真正拥有特定域名的用户可能很长时间都不知道自己的域名被某些恶意用户利用了。因此目前的技术措施不能很好的解决证书错误的发放给宣称拥有某个特定域名而实际不拥有特定域名的恶意用户的问题。

发明内容

本发明为了解决证书错误的发放给宣称拥有某个特定域名而实际不拥有特定域名的恶意用户的问题，提供了一种减少CA证书错发的签发方法及系统，尤其是可以有效保证证书注册二级代理机构所发放的域名证书的合规性，减少错发域名的发生。

本发明提供了一种通过CA注册机构服务器对用户所申请的CA证书的域名进行签名，该签名信息通过用户原先注册域名时候所用的电子邮件地址进行发送给用户，用户然后在域名服务器(DNS)中配置TXT资源记录，该记录中包含CA注册机构对该域名的签名信息，然后CA注册机构服务器或者CA注册商代理服务器进行DNS查询从而认证用户对宣称拥有的域名具有实际控制权的机制和系统。

该系统主要有五部分组成，分别是用户终端，CA注册商代理服务器，CA签发指示器，CA注册机构服务器和签名生成器。具体过程如下：

1、用户通过用户终端向CA注册商代理服务器提交域名的CA证书申请。

2、CA注册商代理服务器对用户提交的信息进行审核，把通过审核的域名提交给CA签发指示器。

3、CA签发指示器在表格中增加该域名的签发记录，并填写域名字段信息，并通知CA注册机构服务器，对该域名进行签名。

4、CA注册机构服务器调用签名生成器对该域名进行签名，并把签名信息返回给CA签发指示器。

5、CA签发指示器根据签名信息更新该域名对应的签发记录中的签名信息字段和签名时间字段及签名秘钥字段，并通知CA注册商代理服务器。

6、CA注册商代理服务器通过该域名拥有者即用户的电子邮件地址，向其发送该域名的签名信息。