基于 WHOIS 邮箱的 DCV 验证方法停止使用。
出于安全考虑和新的行业标准,自 2025 年 1 月起,CA 将停止使用基于 WHOIS 的电子邮件域名管理权验证,即将不再接受基于 whois 的电子邮件域控制验证(DCV)方法来获取 SSL/TLS证书。不同的 CA 机构将提前执行这个策略,比如 DigiCert 从 11 月开始便不再支持 WHOIS 种的邮箱进行验证。
停用背景
自 2024 年 12 月 2 日起,将不再接受基于 WHOIS 的电子邮件域名控制验证方法来获取 SSL/TLS 证书。这一变化基于最近的安全研究成果,并旨在遵守新的CA/Browser Forum 要求。
对SSL客户的影响
1,我们将不再使用 WHOIS、RDAP 或其他域名联系人来源进行域名验证。
2,任何当前基于域名联系人信息的验证都不能再用于重新签发或续订证书。
3,在您的SSL证书管理后台账户中,验证域名时,下拉菜单将不再包含之前从您的域名注册商处选取的电子邮件地址。
停用原因
安全研究人员在 WHOIS 系统中发现了一个漏洞,这可能导致伪造 SSL/TLS 证书的颁发。为此,Google 提议 CA/Browser Forum 进行投票,决定自 2025 年 1 月 15 日起逐步淘汰 WHOIS 作为验证方法。
关于其他 DCV 方法。以下是备选项:
1,特定前缀的电子邮件验证:
下单后,可以向授权地址发送一封电子邮件,点击电子邮件中的链接,输入验证码以确认域名控制。
支持的电子邮件地址有:
admin@domain.com administrator@domain.com hostmaster@domain.com webmaster@domain.com postmaster@domain.com
2,通过 HTTP/HTTPS 的文件验证:
将特定文件上传到您的网站。
该文件将包含来自您的证书签名请求(CSR)的哈希数据和 CA 提供的令牌。
文件正确放置后,将确认域名控制。
注意:如果您是政务类网站或者其他不能开放境外访问的网站,可以申请 KeepTrust SSL证书,这是一款完全国内自主审核签发的SSL证书品牌,且审核数据不出境,因此无需开放境外访问权限,在国内即可完成相关验证。
3,添加 DNS 解析:
在您的域名的 DNS 中创建一个 CA 指定的 CNAME 或者 TXT 解析记录,此记录不会跟您的其他解析记录相冲突。
环度网信致力于提供更安全、更可靠的 SSL/TLS 证书服务。我们鼓励所有客户尽快过渡到新的验证方法,以确保其证书的安全性和有效性。
欢迎选购SSL证书:https://www.ihuandu.com/ssl.html
- 扫一扫二维码可分享朋友或朋友圈
