感謝May的投遞
一、每398天需重新進行域名驗證
Mozilla和CA/B論壇將域名驗證有效期縮短至398天。這就要求預審域名驗證的客戶每年重新驗證域名所有權。這一新規預計將於2021年10月1日開始執行。
二、通配符證書將不支持文件驗證方式進行域名驗證
基於文件的域名驗證方式也叫文件驗證、http驗證。CA/B論壇對文件驗證方式提出更改:禁止通配符SSL證書使用文件驗證方式進行域名驗證,並限制子域名的有效使用。新規將於2021年12月1日開始執行。郵件驗證方式和DNS驗證方式不受影響。
目前,行業內允許僅對主域名(如racent.com)進行域名驗證即可,並適用於通配符證書(如*racent.com)和其下級子域名(如support.racent.com)。換言之,現在可以用文件驗證方式驗證一個主域名,其通配符域名和子域名都可以不用再做驗證。但是,新政生效后,如果要用文件驗證方式,則主域名和每個子域名都需要進行單獨驗證。郵件驗證和DNS驗證方式仍然可以用於通配符證書並且可以再次用於驗證其子域名。
解決方案
DigiCert、Sectigo等全球主流的CA機構均已發出域名驗證變更通知,為了應對這些變化,最大程度地降低證書中斷的風險,保障您的業務正常運行,銳成信息溫馨提示您提前好以下準備工作:
1. 定期做域名驗證
每398天SSL證書域名驗證就會過期,對於多年期的SSL證書(包括OV、EV、和DV),在當前SSL證書到期的時候,需要提醒客戶重新做域名驗證,否則會中斷證書申請、續費、重簽。
2. 更改通配符證書的域名驗證方法為郵件驗證或DNS驗證
目前,有些SSL證書銷售渠道會提供自動域名驗證的功能, 如果有使用文件驗證方式的,建議調整為郵件驗證或DNS驗證方式。
如果您對以上域名驗證變更有任何疑問,請聯繫您的客戶經理或銳成客服了解更多信息!