2021 年的域验证政策变化
描述
两项域验证策略更改预计将在 2021 年底之前生效,这可能会影响您针对证书请求验证域的方式。这些政策更改适用于所有新的证书申请、续订、重新颁发和预先验证的域。这些更改不会影响已颁发的 TLS/SSL 证书。
- 每 397 天需要重新验证一次域。
DigiCert 将在2021 年 9 月 27 日至 30 日之间实施更改。 - 基于文件的域验证,也称为文件身份验证、http 令牌或 http 身份验证,将不允许用于通配符证书,当用于非通配符证书时,每个单独的 SAN/完全限定域名都需要域验证( FQDN)。
DigiCert 将于 2021 年 11 月 15 日实施更改。 - 这些策略更改会影响所有公共 TLS/SSL 证书。
解决方案
不需要立即采取行动。但是,请准备:
- 更频繁地执行域验证。
如果域未重新验证,域验证将每 397 天到期并中断证书请求、续订和重新颁发。 - 在 2021 年 9 月 27 日之前检查您预先验证的域。
现有域验证到期日期将在2021 年 9 月 27 日至 30 日之间进行调整 。我们会在日期临近时通知您并制定行动计划。 - 如果您使用基于文件的验证,请更改通配符证书/域的域验证方法。 对于喜欢静态值和基于电子邮件的域验证的人,我们建议使用电子邮件到 DNS TXT 联系DCV 方法。
- 如果您想继续对非通配符证书使用基于文件的验证,请更改流程和/或系统以单独验证每个 SAN/FQDN (包括某些证书中包含的"免费 www."SAN)。或者,更改为DNS 或电子邮件验证方法以验证基本域 (example.com) 或整个域空间。
此外,为了帮助您最大程度地减少证书生命周期中断并维护您的业务流程,我们正在研究未来的通知、增强功能和培训材料。
同时,查看当前的 域控制验证 (DCV) 方法以查看您还有哪些其他域验证选项。
397 天域验证重用更改
Mozilla 和 CA/B 论坛正在将域验证重用期减少到 398 天。DigiCert 将实施 397 天的重复使用期,以确保绝对合规。
这将要求管理预验证域的客户大约每 13 个月重新验证一次域。
DigiCert 将在 2021 年 9 月 27 日至 30 日期间实施更改
额外细节:
- CA/B 论坛投票 SC42:398 天重复使用期
- Mozilla 根存储策略 2.7.1 包含 Mozilla 更新的域验证重用策略。见第 2.1 节,第 5.1 项。
- EV 域验证 基本上不受影响, 因为 EV 证书上的域已经需要每 13 个月重新验证一次。复用期从13个月变为397天,刚好13个月多一点。
- 组织名称验证不受影响,OV 证书的有效期为 825 天,EV 证书的有效期为 13 个月。
使用基于文件的验证更改的域控制验证 (DCV)
CA/B 论坛最近就基于文件的域验证(也称为文件身份验证、http 令牌、http 身份验证或 CA/B 论坛基线要求方法 18 (3.2.2.4.18) 和 19 (3.2. 2.4.19)。
更改将影响(从2021 年 11 月 15 日开始),以以下方式使用基于文件的 DCV 方法:
- 禁止使用 此方法验证通配符 证书中的域。
- 当此方法用于验证非通配符证书中的域时,需要单独对每个 FQDN/SAN进行域验证。
注意: 电子邮件和基于 DNS 的 DCV 方法不受影响。
即将对基于文件的验证进行更改的图示
证书中的 FQDN/SAN | 域验证文件的位置 | 是否允许在 2021 年 11 月 14 日或之前签发的证书? | 是否允许在 2021 年 11 月 15 日之后颁发的证书? |
例子.com | 例子.com | 是的 | 是的 |
子.example.com | 子.example.com | 是的 | 是的 |
子.example.com | 例子.com | 是的 | 不 |
*.example.com | 例子.com | 是的 | 不 |
www.example.com | 例子.com | 是的 | 不 |
www.sub.example.com | 子.example.com | 是的 | 不 |
目前,对于许多 DCV 方法,CA/B 论坛基线要求考虑 FQDN(例如 subdomain2.subdomain.example.com)或通配符域(例如 *.subdomain.example.com)在其基本域(例如example.com)或其他高级域名(例如subdomain.example.com)被验证。
但是,当使用基于文件的验证时,策略更改将需要对每个 FQDN/SAN 进行单独验证,并且通配符证书将完全禁止基于文件的验证,因为通配符域名不被视为 FQDN。
请注意,此更改不适用于基于电子邮件和 DNS 的验证, 它们仍可用于通配符证书,并可在基本域级别或其他共享上级域执行以验证子域和通配符域。
政策变更预计将于2021年11 月 15 日生效。
没有评论:
发表评论