تتطلب جميع المراجع المصدقة التجارية التحقق من صحة التحكم في النطاق (DCV) قبل إصدار شهادة SSL. حتى الآن، يمكنك اختيار واحدة من ثلاث طرق لتأكيد ملكية النطاق. ولكن بدءًا من 15 نوفمبر، لن تتمكن بعد الآن من استخدام طريقة تجزئة HTTP/HTTPS للتحقق من صحة نطاقات أحرف البدل. يتبقى أمامك خياران:
- التحقق المستند إلى البريد الإلكتروني
- التحقق المستند إلى نظام أسماء النطاقات (التحقق من صحة اسم النطاق الاسمي الوطني)
قبل معرفة سبب قرار المراجع المصدقة (CAs) بإزالة التحقق المستند إلى الملف لشهادات أحرف البدل، دعنا نراجع بسرعة كل طريقة.
المستندة إلى البريد الإلكتروني
هذه هي الطريقة الأسهل والأكثر شيوعًا للتحقق من صحة اسم النطاق الخاص بك. كل ما عليك القيام به هو الرد على رسالة بريد إلكتروني مرسلة من قبل CA إلى عنوانك المدرج في سجل WHOIS. إليك قائمة بالرسائل الإلكترونية المعتمدة مسبقاً لإثبات ملكية النطاق
المستندة إلى الاسم المستعار
باستخدام هذه الطريقة، يجب عليك إنشاء سجل CNAME فريد في نظام أسماء النطاقات (نظام أسماء النطاقات). على سبيل المثال، إذا طلبت شهادة SSL من Sectigo، سيطلبون منك أن تجعل سجل CNAME الخاص بك يشير إلى موقع Sectigo الإلكتروني.
مستند إلى ملف
تتطلع المراجع المصدقة (CAs) والمتصفحات دائمًا إلى تحسين عملية إصدار SSL وجعلها مضادة للرصاص. بعد تقليل صلاحية SSL إلى سنة واحدة فقط في تغيير سابق، فإن أحدث اقتراع لهم لا يسمح بالتحقق من صحة الملفات المستندة إلى الملفات لنطاقات أحرف البدل والنطاقات الفرعية.
بطاقة الاقتراع SC45 الذي الذي أقره منتدى المتصفح/المتصفح بالإجماع، يؤثر على طريقة DCV المستندة إلى الملفات بالطرق التالية:
- بدءاً من شهر نوفمبر، لن تتمكن من إجراء مصادقة مستندة إلى ملف لشهادات أحرف البدل. بدلاً من ذلك، ستحتاج إلى استخدام المصادقة المستندة إلى البريد الإلكتروني أو مصادقة DNS.
- في الشهادات التي لا تحتوي على بطاقة نطاق، ستكون هناك حاجة إلى التحقق من صحة النطاق لكل FQDN/شبكة منطقة حرة على حدة.
- تؤثر هذه التغييرات في السياسة على جميع شهادات TLS/SSL العامة.
يدخل الاقتراع SC45 لمنتدى CA/B حيز التنفيذ في 1 ديسمبر 2021، ولكن أعلنت شركتا DigiCert وSectigo، وهما شركتا CA الرائدتان، أنهما ستنفذان التغييرات بدءًا من 15 نوفمبر.
وهذا يعني أن أي شهادات أحرف البدل التي تم إصدارها قبل 14 نوفمبر ستظل تدعم طريقة التحقق المستندة إلى الملفات. ومع ذلك، لن يكون متاحًا اعتبارًا من 15 نوفمبر فصاعدًا.
لماذا تشكل طريقة DCV المستندة إلى الملفات مخاطر أمنية
وفقًا لـ CA/B Forum، فإن طريقة التحقق من صحة النطاق المستند إلى الملف ليست كافية لإثبات التحكم في مساحة الاسم بالكامل (اسم النطاق كامل الصلاحية) لـ FQDN (اسم النطاق كامل الصلاحية)، بما في ذلك جميع النطاقات والنطاقات الفرعية الموجودة داخل مساحة الاسم تلك.
على سبيل المثال، قد يكون لديك سيطرة على yourdomain.com، ولكن *.yourdomain.com يمكن استضافته على خادم آخر لا يمكنك الوصول إليه. من الناحية النظرية، يمكن للمتصيّد أو المخترق التحقق من صحة مثل هذا النطاق واستخدامه في الهجمات الإلكترونية.
الخاتمة
إذا كنت تستخدم طريقة DCV المستندة إلى الملفات للحصول على شهادات أحرف البدل، فستحتاج إلى التبديل إلى أحد الخيارين الآخرين، إما التحقق المستند إلى البريد الإلكتروني أو التحقق المستند إلى CNAME. لن يتم تطبيق التحقق من صحة HTTP بعد الآن على نطاقات أحرف البدل والنطاقات الفرعية لشبكات SAN مثل *.yourdomain.com، أو yourdomain.com و blog.yourdomain.com لشبكات SAN. في حالة شبكات SAN، سيتعين عليك إكمال التحقق المستند إلى الملفات من كل نطاق SAN على حدة.
وفِّر 10% على شهادات SSL عند الطلب اليوم!
إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10