Semua Otoritas Sertifikat komersial memerlukan Validasi Kontrol Domain (DCV ) sebelum menerbitkan sertifikat SSL. Hingga saat ini, Anda dapat memilih salah satu dari tiga metode untuk mengonfirmasi kepemilikan domain. Namun, mulai tanggal 15 November, Anda tidak lagi dapat menggunakan metode hashing HTTP/HTTPS untuk memvalidasi domain Wildcard. Anda hanya memiliki dua pilihan:
- Validasi berbasis email
- Validasi berbasis DNS (Validasi CNAME)
Sebelum mengetahui mengapa CA memutuskan untuk menghapus validasi berbasis file untuk sertifikat Wildcard, mari kita tinjau setiap metode dengan cepat.
Berbasis Email
Ini adalah metode termudah dan terpopuler untuk memvalidasi nama domain Anda. Anda hanya perlu membalas email yang dikirim oleh CA ke alamat Anda yang tercantum pada catatan WHOIS. Berikut ini adalah daftar email yang telah disetujui sebelumnya untuk membuktikan kepemilikan domain
Berbasis CNAME
Dengan metode ini, Anda harus membuat catatan CNAME yang unik di DNS (sistem nama domain) Anda. Misalnya, jika Anda memesan sertifikat SSL dari Sectigo, mereka akan meminta Anda untuk membuat catatan CNAME Anda mengarah kembali ke situs web Sectigo.
Berbasis File
CA dan browser selalu mencari cara untuk meningkatkan proses penerbitan SSL dan membuatnya antipeluru. Setelah mengurangi validitas SSL menjadi hanya satu tahun pada perubahan sebelumnya, pemungutan suara terbaru mereka melarang validasi berbasis file untuk domain dan subdomain Wildcard.
Surat suara SC45yang yang disahkan dengan suara bulat oleh Forum CA/Browser, memengaruhi metode DCV berbasis file dengan cara berikut:
- Mulai bulan November, Anda tidak akan bisa melakukan autentikasi berbasis file untuk sertifikat wildcard. Sebagai gantinya, Anda harus menggunakan autentikasi berbasis email atau DNS.
- Pada sertifikat non-wildcard, validasi domain akan diperlukan untuk setiap FQDN/SAN satu per satu.
- Perubahan kebijakan ini memengaruhi semua sertifikat TLS/SSL publik.
Pemungutan suara Forum CA/B SC45 mulai berlaku pada 1 Desember 2021, tetapi DigiCert dan Sectigo, CA terkemuka, mengumumkan bahwa mereka menerapkan perubahan tersebut mulai 15 November.
Ini berarti bahwa setiap sertifikat Wildcard yang diterbitkan sebelum tanggal 14 November akan tetap mendukung metode validasi berbasis file. Namun, metode ini tidak akan lagi tersedia mulai tanggal 15 November dan seterusnya.
Mengapa metode DCV berbasis file menimbulkan risiko keamanan
Menurut CA/B Forum, metode validasi domain berbasis file tidak cukup untuk membuktikan kontrol atas seluruh namespace FQDN (nama domain yang memenuhi syarat), termasuk semua domain dan subdomain yang ada di dalam namespace tersebut.
Sebagai contoh, Anda mungkin memiliki kendali atas domain Anda.com, tetapi *.yourdomain.com bisa jadi di-host di server lain yang tidak bisa Anda akses. Secara teoritis, phisher atau peretas dapat memvalidasi domain seperti itu dan menggunakannya untuk serangan siber.
Kesimpulan
Jika Anda telah menggunakan metode DCV berbasis file untuk mendapatkan sertifikat Wildcard, Anda harus beralih ke salah satu dari dua opsi lainnya, validasi berbasis email atau berbasis CNAME. Validasi HTTP tidak lagi berlaku untuk domain wildcard dan subdomain SAN seperti *.yourdomain.com, atau yourdomain.com dan blog.yourdomain.com untuk SAN. Untuk SAN, Anda harus menyelesaikan validasi berbasis file dari setiap domain SAN secara terpisah.
Hemat 10% untuk Sertifikat SSL saat memesan hari ini!
Penerbitan cepat, enkripsi kuat, kepercayaan peramban 99,99%, dukungan khusus, dan jaminan uang kembali 25 hari. Kode kupon: SAVE10
