安全 SSL证书域名验证重大变更:2021年12月1日起 通配符证书不支持文件验证
感谢May的投递
据CA/B Forum发出的通知 , 从2021年10月1日起 , SSL证书每398天需重新做域名验证;同年12月1日起 , 通配符SSL证书将不支持文件验证域名 。此次域名验证重大变更将会影响到证书申请时域名验证方式的选择和域名验证的有效期 。注意:本次策略变更是针对所有新证书的申请、续费、重签 , 已签发的TLS/SSL证书不受影响 。
SSL证书域名验证的两大变更:
文章图片
一、每398天需重新进行域名验证
Mozilla和CA/B论坛将域名验证有效期缩短至398天 。这就要求预审域名验证的客户每年重新验证域名所有权 。这一新规预计将于2021年10月1日开始执行 。
二、通配符证书将不支持文件验证方式进行域名验证
基于文件的域名验证方式也叫文件验证、http验证 。CA/B论坛对文件验证方式提出更改:禁止通配符SSL证书使用文件验证方式进行域名验证 , 并限制子域名的有效使用 。新规将于2021年12月1日开始执行 。邮件验证方式和DNS验证方式不受影响 。
【安全|SSL证书域名验证重大变更:2021年12月1日起 通配符证书不支持文件验证】目前 , 行业内允许仅对主域名(如racent.com)进行域名验证即可 , 并适用于通配符证书(如*racent.com)和其下级子域名(如support.racent.com) 。换言之 , 现在可以用文件验证方式验证一个主域名 , 其通配符域名和子域名都可以不用再做验证 。但是 , 新政生效后 , 如果要用文件验证方式 , 则主域名和每个子域名都需要进行单独验证 。邮件验证和DNS验证方式仍然可以用于通配符证书并且可以再次用于验证其子域名 。
解决方案
DigiCert、Sectigo等全球主流的CA机构均已发出域名验证变更通知 , 为了应对这些变化 , 最大程度地降低证书中断的风险 , 保障您的业务正常运行 , 锐成信息温馨提示您提前好以下准备工作:
1. 定期做域名验证
每398天SSL证书域名验证就会过期 , 对于多年期的SSL证书(包括OV、EV、和DV) , 在当前SSL证书到期的时候 , 需要提醒客户重新做域名验证 , 否则会中断证书申请、续费、重签 。
2. 更改通配符证书的域名验证方法为邮件验证或DNS验证
目前 , 有些SSL证书销售渠道会提供自动域名验证的功能 , 如果有使用文件验证方式的 , 建议调整为邮件验证或DNS验证方式 。
如果您对以上域名验证变更有任何疑问 , 请联系您的客户经理或锐成客服了解更多信息!
推荐阅读
- Tesla 碰撞时存在安全隐患 特斯拉召回734辆进口Model 3
- 安全 FBI认定对JBS发起勒索软件攻击的幕后黑手是REvil
- 安全 诺顿宣布内置于防病毒软件中的安全型以太坊挖矿功能
- Apple 苹果上线Apple Wallet/Apple Pay新页面 突显安全和便利
- 安全 微软收购ReFirm实验室以提高其固件分析和安全能力
- 可咖杯安全么
- Microsoft 推动安全浏览:微软为Edge浏览器引入自动HTTPS切换功能
- IT 两款中国大疆无人机通过美国防部安全审查 获准使用
- 2021年6月1日 系好安全带。
- 安全 PDF发现高危安全漏洞 黑客可篡改你已签名的合同/文件