Validação de curinga baseada em arquivo será descontinuada em novembro

Todas as autoridades de certificação comerciais exigem a validação de controle de domínio (DCV) antes de emitir um certificado SSL. Até agora, você podia escolher um dos três métodos para confirmar a propriedade do domínio. Porém, a partir de 15 de novembro, você não poderá mais usar o método de hash HTTP/HTTPS para validar domínios curinga. Você tem duas opções:

  • Validação baseada em e-mail
  • Validação baseada em DNS (validação CNAME)

Antes de descobrir por que as CAs decidiram remover a validação baseada em arquivo para certificados curinga, vamos analisar rapidamente cada método.

Baseado em e-mail

Esse é o método mais fácil e mais popular para validar seu nome de domínio. Tudo o que você precisa fazer é responder a um e-mail enviado pela CA para o seu endereço listado no registro WHOIS. Aqui está uma lista de e-mails pré-aprovados para comprovar a propriedade do domínio

Baseado em CNAME

Com esse método, é necessário criar um registro CNAME exclusivo no seu DNS (sistema de nomes de domínio). Por exemplo, se você solicitar um certificado SSL da Sectigo, eles solicitarão que você faça com que seu registro CNAME aponte para o site da Sectigo.

Baseado em arquivo

As CAs e os navegadores estão sempre buscando aprimorar o processo de emissão de SSL e torná-lo à prova de balas. Depois de reduzir a validade do SSL para apenas um ano em uma alteração anterior, sua última votação não permite a validação baseada em arquivo para domínios e subdomínios curinga.

Cédula de votação SC45 que foi aprovada por unanimidade pelo Fórum CA/Browser, afeta o método DCV baseado em arquivo das seguintes maneiras:

  • A partir de novembro, não será mais possível executar a autenticação baseada em arquivo para certificados curinga. Em vez disso, você precisará usar a autenticação baseada em e-mail ou DNS.
  • Em certificados não-wildcard, a validação de domínio será necessária para cada FQDN/SAN individualmente.
  • Essas alterações de política afetam todos os certificados TLS/SSL públicos.

A votação SC45 do Fórum CA/B entra em vigor em 1º de dezembro de 2021, mas a DigiCert e a Sectigo, as principais CAs, anunciaram que estão implementando as alterações a partir de 15 de novembro.

Isso significa que todos os certificados Wildcard emitidos antes de 14 de novembro ainda serão compatíveis com o método de validação baseado em arquivo. No entanto, ele não estará mais disponível a partir de 15 de novembro.

Por que o método DCV baseado em arquivo apresenta riscos de segurança

De acordo com o Fórum CA/B, o método de validação de domínio baseado em arquivo não é suficiente para provar o controle de todo o namespace do FQDN (nome de domínio totalmente qualificado), incluindo todos os domínios e subdomínios existentes nesse namespace.

Por exemplo, você pode ter controle sobre yourdomain.com, mas *.yourdomain.com pode estar hospedado em outro servidor ao qual você não tem acesso. Teoricamente, um phisher ou hacker poderia validar esse domínio e usá-lo para ataques cibernéticos.

Conclusão

Se você estiver usando o método DCV baseado em arquivo para obter certificados curinga, precisará mudar para uma das outras duas opções, validação baseada em e-mail ou CNAME. A validação HTTP não se aplicará mais a domínios curinga e subdomínios SAN, como *.yourdomain.com, ou yourdomain.com e blog.yourdomain.com para SANs. No caso de SANs, você terá que concluir a validação baseada em arquivo de cada domínio SAN separadamente.

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Escrito por

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.