据CA/B Forum发出的通知,从2021年10月1日起,SSL证书每398天需重新做域名验证;同年12月1日起,通配符SSL证书将不支持文件验证域名。此次域名验证重大变更将会影响到证书申请时域名验证方式的选择和域名验证的有效期。注意:本次策略变更是针对所有新证书的申请、续费、重签,已签发的TLS/SSL证书不受影响。
SSL证书域名验证的两大变更
一、每398天需重新进行域名验证
Mozilla和CA/B论坛将域名验证有效期缩短至398天。这就要求预审域名验证的客户每年重新验证域名所有权。这一新规预计将于2021年10月1日开始执行。
二、通配符证书将不支持文件验证方式进行域名验证
基于文件的域名验证方式也叫文件验证、http验证。CA/B论坛对文件验证方式提出更改:禁止通配符SSL证书使用文件验证方式进行域名验证,并限制子域名的有效使用。新规将于2021年12月1日开始执行。邮件验证方式和DNS验证方式不受影响。
目前,行业内允许仅对主域名(如racent.com)进行域名验证即可,并适用于通配符证书(如*racent.com)和其下级子域名(如support.racent.com)。换言之,现在可以用文件验证方式验证一个主域名,其通配符域名和子域名都可以不用再做验证。但是,新政生效后,如果要用文件验证方式,则主域名和每个子域名都需要进行单独验证。邮件验证和DNS验证方式仍然可以用于通配符证书并且可以再次用于验证其子域名。
解决方案
DigiCert、Sectigo等全球主流的CA机构均已发出域名验证变更通知,为了应对这些变化,最大程度地降低证书中断的风险,保障您的业务正常运行,提示您提前好以下准备工作:
定期做域名验证
每398天SSL证书域名验证就会过期,对于多年期的SSL证书(包括OV、EV、和DV),在当前SSL证书到期的时候,需要提醒客户重新做域名验证,否则会中断证书申请、续费、重签。
更改通配符证书的域名验证方法为邮件验证或DNS验证
目前,有些SSL证书销售渠道会提供自动域名验证的功能, 如果有使用文件验证方式的,建议调整为邮件验证或DNS验证方式。