SSL證書域名驗證重大變更：2021年12月1日起，萬用字元證書不支援檔案驗證

據CA/B Forum 發出的通知，從2021 年10 月1 日起，SSL證書 每398 天需重新做域名驗證；同年12 月1 日起，萬用字元SSL 證書將不支援檔案驗證域名。此次域名驗證重大變更將會影響到證書申請時域名驗證方式的選擇和域名驗證的有效期。 注意：本次策略變更是針對所有新證書的申請、續費、重籤，已簽發的TLS/SSL 證書不受影響。

                                             

SSL 證書域名驗證的兩大變更

一、每398 天需重新進行域名驗證

Mozilla 和CA/B 論壇將域名驗證有效期縮短至398 天。這就要求預審域名驗證的客戶每年重新驗證域名所有權。這一新規預計將於 2021 年10 月1 日開始執行。

二、萬用字元證書將不支援檔案驗證方式進行域名驗證

基於檔案的域名驗證方式也叫檔案驗證、http 驗證。CA/B 論壇對檔案驗證方式提出更改：禁止萬用字元SSL證書 使用檔案驗證方式進行域名驗證，並限制子域名的有效使用。新規將於 2021 年12 月1 日開始執行。 郵件驗證方式和DNS 驗證方式不受影響。

目前，行業內允許僅對主域名（如racent.com ）進行域名驗證即可，並適用於萬用字元證書（如*racent.com ）和其下級子域名（如support.racent.com ）。換言之，現在可以用檔案驗證方式驗證一個主域名，其萬用字元域名和子域名都可以不用再做驗證。但是，新政生效後，如果要用檔案驗證方式，則主域名和每個子域名都需要進行單獨驗證。郵件驗證和DNS 驗證方式仍然可以用於萬用字元證書並且可以再次用於驗證其子域名。

解決方案

DigiCert 、Sectigo 等全球主流的CA 機構均已發出域名驗證變更通知，為了應對這些變化，最大程度地降低證書中斷的風險，保障您的業務正常執行， 銳成資訊溫馨提示您提前好以下準備工作：

1.      定期做域名驗證

每398 天SSL 證書域名驗證就會過期，對於多年期的SSL 證書（包括OV 、EV 、和DV ），在當前SSL 證書到期的時候，需要提醒客戶重新做域名驗證，否則會中斷證書申請、續費、重籤。

2.      更改萬用字元證書的域名驗證方法為郵件驗證或DNS 驗證

目前，有些SSL 證書銷售渠道會提供自動域名驗證的功能，  如果有使用檔案驗證方式的，建議調整為郵件驗證或DNS 驗證方式。

 

如果您對以上域名驗證變更有任何疑問，請聯絡您的客戶經理或銳成客服了解更多資訊！

關於銳成資訊

銳成資訊是國內領先的網際網路基礎服務分銷平臺，提供SSL 證書、域名、企業郵箱、伺服器管理皮膚等，致力於為代理商帶來優質的服務和高價效比的產品。

本文轉載於https://www.racent.com/blog/domain-authentication-changes-in-2021