नवंबर में बंद होगा फाइल-आधारित वाइल्डकार्ड सत्यापन

सभी वाणिज्यिक प्रमाणपत्र प्राधिकरणों को SSL प्रमाणपत्र जारी करने से पहले डोमेन नियंत्रण सत्यापन (DCV) की आवश्यकता होती है। अब तक, आप डोमेन स्वामित्व की पुष्टि करने के लिए तीन तरीकों में से एक चुन सकते हैं। लेकिन 15 नवंबर से, आप वाइल्डकार्ड डोमेन को मान्य करने के लिए HTTP/HTTPS हैशिंग विधि का उपयोग नहीं कर पाएंगे। आपके पास दो विकल्प बचे हैं:

• ईमेल-आधारित सत्यापन
• DNS-आधारित सत्यापन (CNAME सत्यापन)

यह पता लगाने से पहले कि CAs ने वाइल्डकार्ड प्रमाणपत्रों के लिए फ़ाइल-आधारित सत्यापन को हटाने का निर्णय क्यों लिया, आइए प्रत्येक विधि की शीघ्रता से समीक्षा करें।

ईमेल-आधारित

यह आपके डोमेन नाम को मान्य करने का सबसे आसान और सबसे लोकप्रिय तरीका है। आपको बस CA द्वारा WHOIS रिकॉर्ड पर सूचीबद्ध आपके पते पर भेजे गए ईमेल का जवाब देना है। डोमेन स्वामित्व साबित करने के लिए पूर्व-अनुमोदित ईमेल की एक सूची यहां दी गई है

• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]

CNAME-आधारित

इस विधि के साथ, आपको अपने DNS (डोमेन नाम सिस्टम) में एक अद्वितीय CNAME रिकॉर्ड बनाना होगा। उदाहरण के लिए, यदि आप Sectigo से एक SSL प्रमाणपत्र आदेश, वे Sectigo वेबसाइट पर वापस अपने CNAME रिकॉर्ड बिंदु बनाने के लिए आप पूछना होगा.

फ़ाइल-आधारित

सीए और ब्राउज़र हमेशा एसएसएल जारी करने की प्रक्रिया में सुधार करना चाहते हैं और इसे बुलेटप्रूफ बनाना चाहते हैं। पिछले परिवर्तन में एसएसएल वैधता को केवल एक वर्ष तक कम करने के बाद , उनका नवीनतम मतपत्र वाइल्डकार्ड डोमेन और उप डोमेन के लिए फ़ाइल-आधारित सत्यापन की अनुमति नहीं देता है।

मतपत्र SC45 , जिसे CA/ब्राउज़र फोरम द्वारा सर्वसम्मति से पारित किया गया था, निम्नलिखित तरीकों से फ़ाइल-आधारित DCV विधि को प्रभावित करता है:

• नवंबर से, आप वाइल्डकार्ड प्रमाणपत्रों के लिए फ़ाइल-आधारित प्रमाणीकरण नहीं कर पाएंगे। इसके बजाय, आपको ईमेल-आधारित या DNS प्रमाणीकरण का उपयोग करना होगा।
• गैर-वाइल्डकार्ड प्रमाणपत्रों में, प्रत्येक FQDN/SAN के लिए व्यक्तिगत रूप से डोमेन सत्यापन की आवश्यकता होगी।
• ये नीति परिवर्तन सभी सार्वजनिक TLS/SSL प्रमाणपत्रों को प्रभावित करते हैं।

CA/B फोरम बैलट SC45 1 दिसंबर, 2021 को प्रभावी होगा, लेकिन प्रमुख CAs DigiCert और Sectigo ने घोषणा की कि वे 15 नवंबर से परिवर्तनों को लागू कर रहे हैं।

इसका मतलब है कि 14 नवंबर से पहले जारी किए गए कोई भी वाइल्डकार्ड प्रमाणपत्र अभी भी फ़ाइल-आधारित सत्यापन विधि का समर्थन करेंगे। हालांकि, यह अब 15 नवंबर से उपलब्ध नहीं होगा।

फ़ाइल-आधारित DCV विधि सुरक्षा जोखिम क्यों पैदा करती है

CA/B फोरम के अनुसार, फ़ाइल-आधारित डोमेन सत्यापन विधि FQDN (पूरी तरह से योग्य डोमेन नाम) के संपूर्ण नामस्थान के नियंत्रण को साबित करने के लिए पर्याप्त नहीं है, जिसमें उस नामस्थान के भीतर मौजूद सभी डोमेन और उप डोमेन शामिल हैं।

उदाहरण के लिए, आपके पास yourdomain.com पर नियंत्रण हो सकता है, लेकिन *.yourdomain.com को किसी अन्य सर्वर पर होस्ट किया जा सकता है जहाँ आपको पहुँच नहीं है. सैद्धांतिक रूप से, एक फ़िशर या हैकर ऐसे डोमेन को मान्य कर सकता है और साइबर हमलों के लिए इसका उपयोग कर सकता है।

समाप्ति

यदि आप वाइल्डकार्ड प्रमाणपत्र प्राप्त करने के लिए फ़ाइल-आधारित DCV पद्धति का उपयोग कर रहे हैं, तो आपको अन्य दो विकल्पों में से एक पर स्विच करना होगा, या तो ईमेल-आधारित या CNAME-आधारित सत्यापन। HTTP सत्यापन अब वाइल्डकार्ड डोमेन और SAN उप डोमेन जैसे *.yourdomain.com, या सैन के लिए yourdomain.com और blog.yourdomain.com पर लागू नहीं होगा। सैन के मामले में, आपको प्रत्येक सैन डोमेन से अलग से फ़ाइल-आधारित सत्यापन पूरा करना होगा।

आज ऑर्डर करते समय एसएसएल प्रमाणपत्रों पर 10% की बचत करें!

तेजी से जारी करना, मजबूत एन्क्रिप्शन, 99.99% ब्राउज़र ट्रस्ट, समर्पित समर्थन और 25 दिन की मनी-बैक गारंटी। कूपन कोड: SAVE10

अभी 10% बचाएं!

द्वारा लिखित Dionisie Gitlan

एसएसएल प्रमाणपत्रों में विशेषज्ञता वाला अनुभवी सामग्री लेखक। जटिल साइबर सुरक्षा विषयों को स्पष्ट, आकर्षक सामग्री में बदलना। प्रभावशाली आख्यानों के माध्यम से डिजिटल सुरक्षा को बेहतर बनाने में योगदान करें।