Toate autoritățile de certificare comerciale necesită validarea controlului domeniului (DCV) înainte de a emite un certificat SSL. Până în prezent, puteai alege una dintre cele trei metode de confirmare a proprietății domeniului. Dar, începând cu 15 noiembrie, nu veți mai putea utiliza metoda hashing HTTP/HTTPS pentru validarea domeniilor Wildcard. Rămâneți cu două opțiuni:
- Validare pe bază de e-mail
- Validare bazată pe DNS (validare CNAME)
Înainte de a afla de ce au decis autoritățile de certificare să elimine validarea bazată pe fișiere pentru certificatele Wildcard, să trecem rapid în revistă fiecare metodă.
Email-Based
Aceasta este cea mai simplă și cea mai populară metodă de validare a numelui de domeniu. Tot ceea ce trebuie să faceți este să răspundeți la un e-mail trimis de către CA la adresa dvs. listată în registrul WHOIS. Iată o listă de e-mailuri preaprobate pentru a dovedi proprietatea domeniului
CNAME-Based
Cu această metodă, trebuie să creați o înregistrare CNAME unică în DNS (sistemul de nume de domeniu). De exemplu, dacă comandați un certificat SSL de la Sectigo, vi se va cere să faceți ca înregistrarea CNAME să fie îndreptată către site-ul Sectigo.
Bazat pe fișiere
Autoritățile de certificare și browserele caută în permanență să îmbunătățească procesul de emitere SSL și să îl facă antiglonț. După ce a redus valabilitatea SSL la doar un an într-o modificare anterioară, ultimul lor vot nu permite validarea bazată pe fișiere pentru domeniile și subdomeniile Wildcard.
Buletinul de vot SC45, care a fost adoptat în unanimitate de către Forumul CA/Browser, afectează metoda DCV bazată pe fișiere în următoarele moduri:
- Începând cu luna noiembrie, nu veți mai putea efectua autentificarea bazată pe fișiere pentru certificatele wildcard. În schimb, va trebui să utilizați autentificarea bazată pe e-mail sau pe DNS.
- În cazul certificatelor fără wildcard, validarea domeniului va fi necesară pentru fiecare FQDN/SAN în parte.
- Aceste modificări de politică afectează toate certificatele TLS/SSL publice.
Votul SC45 al Forumului CA/B intră în vigoare la 1 decembrie 2021, dar DigiCert și Sectigo, cele mai importante CA-uri, au anunțat că implementează modificările începând cu 15 noiembrie.
Aceasta înseamnă că orice certificat Wildcard emis înainte de 14 noiembrie va continua să suporte metoda de validare bazată pe fișiere. Cu toate acestea, nu va mai fi disponibil începând cu 15 noiembrie.
De ce metoda DCV bazată pe fișiere prezintă riscuri de securitate
Potrivit CA/B Forum, metoda de validare a domeniului bazată pe fișiere nu este suficientă pentru a dovedi controlul întregului spațiu de nume FQDN (nume de domeniu complet calificat), inclusiv toate domeniile și subdomeniile care există în cadrul acelui spațiu de nume.
De exemplu, este posibil să dețineți controlul asupra site-ului yourdomain.com, dar *.yourdomain.com ar putea fi găzduit pe un alt server la care nu aveți acces. Teoretic, un phisher sau un hacker ar putea să valideze un astfel de domeniu și să-l folosească pentru atacuri cibernetice.
Concluzie
Dacă ați utilizat metoda DCV bazată pe fișiere pentru a obține certificate Wildcard, va trebui să treceți la una dintre celelalte două opțiuni, fie validarea bazată pe e-mail, fie validarea bazată pe CNAME. Validarea HTTP nu se va mai aplica domeniilor wildcard și subdomeniilor SAN, cum ar fi *.yourdomain.com, sau yourdomain.com și blog.yourdomain.com pentru SAN-uri. În cazul SAN-urilor, va trebui să finalizați validarea bazată pe fișiere din fiecare domeniu SAN separat.
Economisește 10% la certificatele SSL în momentul plasării comenzii!
Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10
