Todas las autoridades de certificación comerciales exigen la Validación de Control de Dominio (DCV ) antes de emitir un certificado SSL. Hasta ahora, podía elegir uno de los tres métodos para confirmar la propiedad del dominio. Pero a partir del 15 de noviembre, ya no podrá utilizar el método hash HTTP/HTTPS para validar dominios Wildcard. Te quedan dos opciones:
- Validación por correo electrónico
- Validación basada en DNS (validación CNAME)
Antes de averiguar por qué las CA decidieron eliminar la validación basada en archivos para los certificados Wildcard, repasemos rápidamente cada método.
Correo electrónico
Este es el método más sencillo y popular para validar su nombre de dominio. Todo lo que tiene que hacer es responder a un correo electrónico enviado por la CA a su dirección que figura en el registro WHOIS. Aquí tiene una lista de correos electrónicos preaprobados para demostrar la titularidad del dominio
Basado en CNAME
Con este método, tiene que crear un registro CNAME único en su DNS (sistema de nombres de dominio). Por ejemplo, si solicita un certificado SSL a Sectigo, le pedirán que su registro CNAME apunte al sitio web de Sectigo.
Basado en archivos
Las CA y los navegadores siempre buscan mejorar el proceso de emisión de SSL y hacerlo a prueba de balas. Tras reducir la validez de SSL a sólo un año en un cambio anterior, su última papeleta desautoriza la validación basada en archivos para dominios y subdominios Wildcard.
Voto SC45 que fue aprobada por unanimidad por el Foro CA/Browser, afecta al método DCV basado en ficheros de las siguientes maneras:
- A partir de noviembre, no podrá realizar la autenticación basada en archivos para certificados comodín. En su lugar, tendrás que utilizar autenticación basada en correo electrónico o DNS.
- En los certificados sin tarjeta comodín, la validación de dominio será necesaria para cada FQDN/SAN individualmente.
- Estos cambios de política afectan a todos los certificados TLS/SSL públicos.
La votación SC45 del Foro CA/B entrará en vigor el 1 de diciembre de 2021, pero DigiCert y Sectigo, las principales CA, han anunciado que aplicarán los cambios a partir del 15 de noviembre.
Esto significa que todos los certificados Wildcard emitidos antes del 14 de noviembre seguirán siendo compatibles con el método de validación basado en archivos. Sin embargo, dejará de estar disponible a partir del 15 de noviembre.
Por qué el método DCV basado en ficheros plantea riesgos de seguridad
Según CA/B Forum, el método de validación de dominios basado en archivos no es suficiente para demostrar el control de todo el espacio de nombres del FQDN (nombre de dominio completo), incluidos todos los dominios y subdominios que existen dentro de ese espacio de nombres.
Por ejemplo, puede que tengas control sobre tudominio.com, pero *.tudominio.com podría estar alojado en otro servidor al que no tengas acceso. En teoría, un phisher o hacker podría validar un dominio de este tipo y utilizarlo para ciberataques.
Conclusión
Si ha estado utilizando el método DCV basado en archivos para obtener certificados Wildcard, tendrá que cambiar a una de las otras dos opciones, la validación basada en correo electrónico o la basada en CNAME. La validación HTTP ya no se aplicará a dominios comodín y subdominios SAN como *.sudominio.com, o sudominio.com y blog.sudominio.com para SANs. En el caso de las SAN, tendrá que completar la validación basada en archivos desde cada dominio SAN por separado.
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10
