Все коммерческие центры сертификации требуют проверки контроля домена (DCV) перед выдачей SSL-сертификата. До сих пор Вы могли выбрать один из трех способов подтверждения владения доменом. Но начиная с 15 ноября, Вы больше не сможете использовать метод хэширования HTTP/HTTPS для проверки доменов Wildcard. У Вас остается два варианта:
- Проверка по электронной почте
- Проверка на основе DNS (проверка CNAME)
Прежде чем выяснить, почему ЦС решили убрать проверку на основе файлов для сертификатов Wildcard, давайте быстро рассмотрим каждый метод.
Электронная почта
Это самый простой и популярный метод подтверждения Вашего доменного имени. Все, что Вам нужно сделать, это ответить на электронное письмо, отправленное ЦС на Ваш адрес, указанный в записи WHOIS. Вот список предварительно одобренных электронных писем для подтверждения владения доменом
на основе CNAME
При использовании этого метода Вам необходимо создать уникальную запись CNAME в Вашей DNS (системе доменных имен). Например, если Вы закажете SSL-сертификат у Sectigo, они попросят Вас сделать так, чтобы Ваша запись CNAME указывала на сайт Sectigo.
Файловая база
Центры сертификации и браузеры постоянно стремятся улучшить процесс выдачи SSL и сделать его пуленепробиваемым. После сокращения срока действия SSL до всего до одного года в предыдущем изменении, их последнее голосование запрещает проверку на основе файлов для доменов и поддоменов Wildcard.
Бюллетень SC45 , который который был единогласно принят Форумом CA/Browser, влияет на метод DCV, основанный на файлах, следующим образом:
- Начиная с ноября, Вы не сможете выполнять аутентификацию на основе файлов для сертификатов wildcard. Вместо этого Вам придется использовать аутентификацию на основе электронной почты или DNS.
- В сертификатах, не содержащих диких карт, проверка домена будет требоваться для каждого FQDN/SAN в отдельности.
- Эти изменения в политике затрагивают все публичные сертификаты TLS/SSL.
Бюллетень CA/B Forum SC45 вступает в силу 1 декабря 2021 года, но DigiCert и Sectigo, ведущие центры сертификации, объявили, что они вводят изменения с 15 ноября.
Это означает, что все сертификаты Wildcard, выпущенные до 14 ноября, по-прежнему будут поддерживать метод проверки на основе файлов. Однако, начиная с 15 ноября, он больше не будет доступен.
Почему метод DCV на основе файлов представляет собой риск для безопасности
По мнению CA/B Forum, метод проверки домена на основе файлов недостаточен для подтверждения контроля над всем пространством имен FQDN (полностью определенное доменное имя), включая все домены и поддомены, существующие в этом пространстве имен.
Например, Вы можете контролировать домен yourdomain.com, но *.yourdomain.com может быть размещен на другом сервере, куда у Вас нет доступа. Теоретически, фишер или хакер может подтвердить такой домен и использовать его для кибератак.
Заключение
Если Вы использовали файловый метод DCV для получения сертификатов Wildcard, Вам нужно будет перейти на один из двух других вариантов – проверку по электронной почте или CNAME. HTTP-проверка больше не будет применяться к доменам с символами дикой природы и поддоменам SAN, таким как *.yourdomain.com, или yourdomain.com и blog.yourdomain.com для SAN. В случае SAN Вам придется выполнять файловую валидацию для каждого домена SAN отдельно.
Сэкономьте 10% на SSL-сертификатах при заказе сегодня!
Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10