站长视角
用户至上

SSL证书域名验证重大变更:2021年12月1日起,通配符证书不支持文件验证!

据CA/B Forum发出的通知,从2021年10月1日起,SSL证书每398天需重新做域名验证此;同年12月1日起,通配符SSL证书将不支持文件验证域名。此次域名验证重大变更将会影响到证书申请时域名验证方式的选择和域名验证的有效期。注意:本次策略变更是针对所有新证书的申请、续费、重签,已签发的TLS/SSL证书不受影响。

SSL证书域名验证的两大变更

一、每398天需重新进行域名验证

Mozilla和CA/B论坛将域名验证有效期缩短至398天。这就要求预审域名验证的客户每年重新验证域名所有权。这一新规预计将于2021年10月1日开始执行。

二、通配符证书将不支持文件验证方式进行域名验证

基于文件的域名验证方式也叫文件验证、http验证。CA/B论坛对文件验证方式提出更改:禁止通配符SSL证书使用文件验证方式进行域名验证,并限制子域名的有效使用。新规将于2021年12月1日开始执行。邮件验证方式和DNS验证方式不受影响。

目前,行业内允许仅对主域名(如racent.com)进行域名验证即可,并适用于通配符证书(如*racent.com)和其下级子域名(如support.racent.com)。换言之,现在可以用文件验证方式验证一个主域名,其通配符域名和子域名都可以不用再做验证。但是,新政生效后,如果要用文件验证方式,则主域名和每个子域名都需要进行单独验证。邮件验证和DNS验证方式仍然可以用于通配符证书并且可以再次用于验证其子域名。

解决方案

DigiCert、Sectigo等全球主流的CA机构均已发出域名验证变更通知,为了应对这些变化,最大程度地降低证书中断的风险,保障您的业务正常运行,提前好以下准备工作:

1. 定期做域名验证

每398天SSL证书域名验证就会过期,对于多年期的SSL证书(包括OV、EV、和DV),在当前SSL证书到期的时候,需要提醒客户重新做域名验证,否则会中断证书申请、续费、重签。

2. 更改通配符证书的域名验证方法为邮件验证或DNS验证

目前,有些SSL证书销售渠道会提供自动域名验证的功能, 如果有使用文件验证方式的,建议调整为邮件验证或DNS验证方式。

赞(0)
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权, 转载请注明出处。
文章名称:《SSL证书域名验证重大变更:2021年12月1日起,通配符证书不支持文件验证!》
文章链接:https://www.sshce.com/16398.html
【声明】:国外主机测评仅分享信息,不参与任何交易,也非中介,所有内容仅代表个人观点,均不作直接、间接、法定、约定的保证,读者购买风险自担。一旦您访问国外主机测评,即表示您已经知晓并接受了此声明通告。
【关于安全】:任何 IDC商家都有倒闭和跑路的可能,备份永远是最佳选择,服务器也是机器,不勤备份是对自己极不负责的表现,请保持良好的备份习惯。

登录

找回密码

注册