Tutte le autorità di certificazione commerciali richiedono la convalida del controllo del dominio (DCV) prima di emettere un certificato SSL. Finora potevi scegliere uno dei tre metodi per confermare la proprietà del dominio. Ma a partire dal 15 novembre non potrai più utilizzare il metodo di hashing HTTP/HTTPS per convalidare i domini Wildcard. Ti restano due opzioni:
- Convalida via e-mail
- Convalida basata su DNS (convalida CNAME)
Prima di scoprire perché le CA hanno deciso di rimuovere la convalida basata su file per i certificati Wildcard, esaminiamo rapidamente ogni metodo.

Basato su e-mail
Questo è il metodo più semplice e popolare per convalidare il tuo nome di dominio. Tutto ciò che devi fare è rispondere a un’e-mail inviata dalla CA al tuo indirizzo indicato nel record WHOIS. Ecco un elenco di email pre-approvate per dimostrare la proprietà del dominio
Basato su CNAME
Con questo metodo, devi creare un record CNAME unico nel tuo DNS (sistema dei nomi di dominio). Ad esempio, se ordini una certificazione SSL da Sectigo, ti chiederanno di far puntare il tuo record CNAME al sito web di Sectigo.
Basato su file
Le CA e i browser cercano sempre di migliorare il processo di emissione di SSL e di renderlo a prova di bomba. Dopo aver ridotto la validità dell’SSL a un solo anno in una precedente modifica, l’ultima bozza di regolamento impedisce la convalida basata su file per i domini e i sottodomini Wildcard.
Il Ballot SC45, che è stato approvato all’unanimità dal CA/Browser Forum, influisce sul metodo DCV basato su file nei seguenti modi:
- A partire da novembre, non sarà più possibile eseguire l’autenticazione basata su file per i certificati wildcard. Dovrai invece utilizzare l’autenticazione basata su e-mail o DNS.
- Nei certificati non a cartellino, la convalida del dominio sarà richiesta per ogni singolo FQDN/SAN.
- Queste modifiche riguardano tutti i certificati TLS/SSL pubblici.

Il voto SC45 del CA/B Forum entrerà in vigore il 1° dicembre 2021, ma DigiCert e Sectigo, le principali CA, hanno annunciato l’implementazione dei cambiamenti a partire dal 15 novembre.
Ciò significa che tutti i certificati Wildcard emessi prima del 14 novembre supporteranno ancora il metodo di convalida basato sui file. Tuttavia, non sarà più disponibile a partire dal 15 novembre.
Perché il metodo DCV basato su file presenta rischi per la sicurezza
Secondo CA/B Forum, il metodo di convalida del dominio basato sui file non è sufficiente a dimostrare il controllo dell’intero spazio dei nomi FQDN (fully-qualified domain name), compresi tutti i domini e i sottodomini che esistono all’interno di quello spazio dei nomi.
Ad esempio, potresti avere il controllo di yourdomain.com, ma *.yourdomain.com potrebbe essere ospitato su un altro server a cui non hai accesso. In teoria, un phisher o un hacker potrebbe convalidare questo dominio e utilizzarlo per attacchi informatici.
Conclusione
Se hai utilizzato il metodo DCV basato su file per ottenere certificati Wildcard, dovrai passare a una delle altre due opzioni, ovvero la convalida basata su e-mail o CNAME. La convalida HTTP non si applicherà più ai domini wildcard e ai sottodomini SAN come *.yourdomain.com, o yourdomain.com e blog.yourdomain.com per i SAN. Nel caso delle SAN, dovrai completare la convalida basata sui file da ogni dominio SAN separatamente.
Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!
Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10






