Digicert關(guān)于SSL證書(shū)域名驗證(DCV)策略變更說(shuō)明
發(fā)布時(shí)間:2021-10-03 11:20
來(lái)源:
閱讀:0
作者:
欄目: 云產(chǎn)品
歡迎投稿:712375056
近日����,digicert針對三個(gè)月前CA/B Forum發(fā)布的ssl證書(shū)域名驗證的兩大變更做出了以下回應: 從2…
近日����,針對三個(gè)月前CA/B Forum發(fā)布的的兩大變更做出了以下回應:
從2021年9月27日起���,Digicert 每397天需重新進(jìn)行域名驗證;
從2021年11月15日起�,Digicert通配符SSL證書(shū)不支持文件驗證域名�,如對非通配符證書(shū)使用文件驗證域名�,每個(gè)SAN或FQDN都需要進(jìn)行獨立的域名驗證����。
注:當前在使用文件驗證完成DCV時(shí)�,如果證書(shū)中即有頂級域名又有子域名����,只需完成頂級域名即可通過(guò)全部的DCV驗證��。
自11月15日起��,申請非通配符SSL證書(shū)時(shí)如果使用文件驗證完成DCV���,則頂級域名和子域名需分別完成驗證���。
同時(shí)Digicert指出����,本次SSL證書(shū)策略變更適用于新申請�、續費���、重簽和已通過(guò)DCV的所有域名�。已簽發(fā)的SSL證書(shū)不受影響�����。
SSL證書(shū)域名驗證策略變更影響
1. 2021年9月27日起�����,系統將域名驗證有效期從825天縮短為397天�。
新規生效后���,已通過(guò)DCV驗證域名的有效狀態(tài)�����,會(huì )因此發(fā)生變化�����。其驗證狀態(tài)可能從“已驗證”變?yōu)椤按炞C“��,從而導致無(wú)法即時(shí)簽發(fā)與該域名相關(guān)的SSL證書(shū)�����。必須要重新完成域名驗證����,才能新簽或者重簽該域名相關(guān)的SSL證書(shū)�。
已經(jīng)簽發(fā)的SSL證書(shū)�����,不會(huì )受到任何影響!
2. 2021年11月15日開(kāi)始����,Digicert通配符證書(shū)將不再支持使用文件驗證的方式完成DCV����,在非通配符證書(shū)中使用這種方法進(jìn)行域名驗證時(shí)����,每個(gè)SAN或FQDN都需要進(jìn)行獨立的域名驗證����。
(文件驗證規則變更前后示例圖)
解決方案:
1. 定期做域名驗證
已完成DCV驗證的域名有效期僅為397天����,也就意味著(zhù)不論您是新申請���、續費還是重簽SSL證書(shū)���,每隔397天都需重新完成域名驗證����,否則會(huì )影響您獲取新證書(shū)�����。
2. 更改通配符域名驗證方式為郵件驗證或DNS驗證
由于SSL通配符域名驗證將不再支持文件驗證���,建議您使用郵件驗證或DNS驗證�。
3. 驗證每一個(gè)SAN/FQDN
非通配符SSL證書(shū)使用文件驗證方式完成DCV驗證時(shí)���,需要對每一個(gè)SAN/FQDN��,即對所有的頂級域名和子域名進(jìn)行驗證����,包括所有帶有“www”的SAN�����。
以上是Digicert關(guān)于SSL證書(shū)域名驗證變更的說(shuō)明����,更多詳情請關(guān)注銳成信息�,了解國內外最新業(yè)內資訊!
