Sectigo、DigiCert的通配符证书不再支持文件验证
发布时间:2022-10-11 发布者:青蛙数字安全
为了遵守CA浏览器(CA/B)论坛投票SC45带来的悬而未决的政策变化;Sectigo和Digicert CAs将对其可以采用基于文件的域名控制验证(DCV)的情况进行更新。虽然这些更新对客户的影响很小,但它们将改变某些类型的证书请求的域名验证所需的过程。Sectigo/Digicert将从2021年11月15日开始实施其政策更新。
域名控制验证(DCV)是一个过程,CA通过这个过程获得证据,证明一个特定的域名是由证书申请人管理的。证书申请者可以选择以下几种可能的DCV方法,解释如下。
域名控制验证(DCV)方法
其中一个选择是基于文件的验证,它要求域名所有者向域名上传一个文件,该文件含有证书颁发机构(CA)给予证书申请人的唯一标识符。然后,CA可以找到并询问这个文件,作为申请者控制这个域名的证明。CA/浏览器论坛已经确定,这个过程对于验证通配符域名或整个域名空间是不够的。最近的投票规定,不允许通配符证书使用基于文件的验证。对于使用基于文件的DCV的多域证书,每个子域将需要独立的验证。这一要求影响了所有SSL/TLS证书请求。
过去使用基于文件的DCV的请求者可以继续对多域证书使用这种方法,只需在每个需要验证的子域上包括指定的令牌。如果他们愿意,请求者可以为多域证书选择不同的DCV方法。那些申请通配符证书的人将需要选择基于文件的DCV以外的方法。