所有商业证书颁发机构在颁发 SSL 证书前都要求进行域控制验证 (DCV)。 到目前为止,您可以选择三种方法之一来确认域名所有权。 但从 11 月 15 日开始,您将无法再使用 HTTP/HTTPS 哈希方法验证通配符域。 你有两个选择
- 基于电子邮件的验证
- 基于 DNS 的验证(CNAME 验证)
在了解 CA 为什么决定取消通配符证书基于文件的验证之前,让我们快速回顾一下每种方法。
基于电子邮件
这是最简单、最常用的域名验证方法。 您只需回复 CA 发送给您在 WHOIS 记录中列出的地址的电子邮件即可。 以下是一份预先批准的电子邮件列表,用于证明域名所有权
基于 CNAME
使用这种方法,您必须在 DNS(域名系统)中创建一个唯一的 CNAME 记录。 例如,如果您从Sectigo 订购 SSL 证书,他们会要求您将 CNAME 记录指向 Sectigo 网站。
基于文件
CA 和浏览器一直在努力改进 SSL 签发流程,使其防不胜防。 在将 SSL 有效期缩短到 仅一年 后,他们的最新投票不允许对通配符域和子域进行基于文件的验证。
选票 SC45 在 由 CA/Browser Forum 一致通过的 SC45 号投票在以下方面影响了基于文件的 DCV 方法:
- 从 11 月开始,您将无法对通配符证书执行基于文件的身份验证。 相反,您需要使用基于电子邮件或 DNS 的身份验证。
- 在非通配符证书中,需要对每个 FQDN/SAN 分别进行域验证。
- 这些政策变更会影响所有公开 TLS/SSL 证书。
CA/B 论坛投票 SC45 于 2021 年 12 月 1 日生效,但领先的 CA 公司 DigiCert 和 Sectigo 宣布从 11 月 15 日开始实施这些变更。
这意味着在 11 月 14 日之前签发的任何通配符证书仍将支持基于文件的验证方法。 不过,从 11 月 15 日起将不再提供。
基于文件的 DCV 方法为何存在安全风险
CA/B Forum 认为,基于文件的域名验证方法不足以证明对 FQDN(全称域名)整个名称空间(包括该名称空间内存在的所有域和子域)的控制。
例如,您可以控制 yourdomain.com,但 *.yourdomain.com 可能托管在另一个您无法访问的服务器上。理论上,网络钓鱼者或黑客可以验证这样的域名,并利用它进行网络攻击。
结论
如果您一直使用基于文件的 DCV 方法获取通配符证书,则需要切换到其他两个选项之一,即基于电子邮件或基于 CNAME 的验证。HTTP 验证将不再适用于通配符域和 SAN 子域,如 *.yourdomain.com,或 SAN 的 yourdomain.com 和 blog.yourdomain.com。在 SAN 的情况下,您必须从每个 SAN 域分别完成基于文件的验证。
