1. 首页
2. 新闻资讯
3. 安全资讯
4. SSL证书域名验证重大变更：2021年12月1日起 通配符证书不支持文件验证

SSL证书域名验证重大变更：2021年12月1日起 通配符证书不支持文件验证

发布日期：2021-05-14

据CA/B Forum发出的通知，从2021年10月1日起，SSL证书每398天需重新做域名验证；同年12月1日起，通配符SSL证书将不支持文件验证域名。此次域名验证重大变更将会影响到证书申请时域名验证方式的选择和域名验证的有效期。注意：本次策略变更是针对所有新证书的申请、续费、重签，已签发的TLS/SSL证书不受影响。 

SSL证书域名验证的两大变更：

一、每398天需重新进行域名验证

Mozilla和CA/B论坛将域名验证有效期缩短至398天。这就要求预审域名验证的客户每年重新验证域名所有权。这一新规预计将于2021年10月1日开始执行。

二、通配符证书将不支持文件验证方式进行域名验证

基于文件的域名验证方式也叫文件验证、http验证。CA/B论坛对文件验证方式提出更改：禁止通配符SSL证书使用文件验证方式进行域名验证，并限制子域名的有效使用。新规将于2021年12月1日开始执行。邮件验证方式和DNS验证方式不受影响。

目前，行业内允许仅对主域名进行域名验证即可，并适用于通配符证书和其下级子域名。换言之，现在可以用文件验证方式验证一个主域名，其通配符域名和子域名都可以不用再做验证。但是，新政生效后，如果要用文件验证方式，则主域名和每个子域名都需要进行单独验证。邮件验证和DNS验证方式仍然可以用于通配符证书并且可以再次用于验证其子域名。

解决方案

DigiCert、Sectigo等全球主流的CA机构均已发出域名验证变更通知，为了应对这些变化，最大程度地降低证书中断的风险，保障您的业务正常运行，数安时代温馨提示您提前好以下准备工作：

1. 定期做域名验证

每398天SSL证书域名验证就会过期，对于多年期的SSL证书（包括OV、EV、和DV），在当前SSL证书到期的时候，需要提醒客户重新做域名验证，否则会中断证书申请、续费、重签。

1. 更改通配符证书的域名验证方法为邮件验证或DNS验证

目前，有些SSL证书销售渠道会提供自动域名验证的功能， 如果有使用文件验证方式的，建议调整为邮件验证或DNS验证方式。

声明：本网站发布的图片均以转载为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。本站原创内容未经允许不得转载，或转载时需注明出处：GDCA数安时代

 

上一篇：中小型企业网络安全统计数据

下一篇：代码签名证书新要求：最小密钥长度将于6月增强至3072位

相关新闻

• 勒索软件攻击事件为何不断增加
• 全球石油巨头因网络攻击损失超2.5亿元
• 39秒黑客就会攻击一次，每天造成1800万美元的损失
• 施*德电气遭数据勒索：开发平台访问凭证暴露 40GB数据失窃
• 25家跨国企业数据泄露，MOVEit漏洞引发重大安全危机
• 《个人信息保护法》施行三周年，SSL证书筑牢个人信息 “安全堤”
• 数据泄露事件频发 我们如何防患于未然
• 遭勒索攻击后，秘鲁国际银行承认数据泄露
• 一机场集团疑遭勒索软件攻击，旗下13个机场紧急切换备用系统
• 诺*亚正在调查一起数据泄露事件