2021年8月17日星期二

digicert 2021 年的域验证政策变化 警报 ID : AL290421223713 最后修改 : 07/01/2021

2021 年的域验证政策变化

描述

两项域验证策略更改预计将在 2021 年底之前生效,这可能会影响您针对证书请求验证域的方式。这些政策更改适用于所有新的证书申请、续订、重新颁发和预先验证的域。这些更改不会影响已颁发的 TLS/SSL 证书。

  •  每 397 天需要重新验证一次
    DigiCert 将在2021 年 9 月 27 日至 30 日之间实施更改
  • 基于文件的域验证,也称为文件身份验证、http 令牌或 http 身份验证,将不允许用于通配符证书,当用于非通配符证书时,每个单独的 SAN/完全限定域名都需要域验证( FQDN)。
    DigiCert 将于 2021 年 11 月 15 日实施更改。
  • 这些策略更改会影响所有公共 TLS/SSL 证书。

 

解决方案

不需要立即采取行动。但是,请准备:

  • 更频繁地执行域验证
    如果域未重新验证,域验证将每 397 天到期并中断证书请求、续订和重新颁发。
  • 在 2021 年 9 月 27 日之前检查您预先验证的域
    现有域验证到期日期将在2021 年 9 月 27 日至 30 日之间进行调整 我们会在日期临近时通知您并制定行动计划。 
  • 如果您使用基于文件的验证,请更改通配符证书/域的域验证方法 对于喜欢静态值和基于电子邮件的域验证的人,我们建议使用电子邮件到 DNS TXT 联系DCV 方法。 
  • 如果您想继续对非通配符证书使用基于文件的验证,更改流程和/或系统以单独验证每个 SAN/FQDN (包括某些证书中包含的"免费 www."SAN)或者,更改为DNS 或电子邮件验证方法以验证基本域 (example.com) 或整个域空间。

 

此外,为了帮助您最大程度地减少证书生命周期中断并维护您的业务流程,我们正在研究未来的通知、增强功能和培训材料。
同时,查看当前的 域控制验证 (DCV) 方法以查看您还有哪些其他域验证选项。

 

397 天域验证重用更改

Mozilla 和 CA/B 论坛正在将域验证重用期减少到 398 天。DigiCert 将实施 397 天的重复使用期,以确保绝对合规。

这将要求管理预验证域的客户大约每 13 个月重新验证一次域。

DigiCert 将在 2021 年 9 月 27 日至 30 日期间实施更改

 

额外细节:

  • CA/B 论坛投票 SC42:398 天重复使用期
  • Mozilla 根存储策略 2.7.1 包含 Mozilla 更新的域验证重用策略。见第 2.1 节,第 5.1 项。
  • EV 域验证 基本上不受影响, 因为 EV 证书上的域已经需要每 13 个月重新验证一次。复用期从13个月变为397天,刚好13个月多一点。
  • 组织名称验证不受影响,OV 证书的有效期为 825 天,EV 证书的有效期为 13 个月。

 

使用基于文件的验证更改的域控制验证 (DCV)

CA/B 论坛最近就基于文件的域验证(也称为文件身份验证、http 令牌、http 身份验证或 CA/B 论坛基线要求方法 18 (3.2.2.4.18) 和 19 (3.2. 2.4.19)。

更改将影响(从2021 年 11 月 15 日开始),以以下方式使用基于文件的 DCV 方法: 

  • 禁止使用 此方法验证通配符 证书中的域
  • 当此方法用于验证非通配符证书中的域时,需要单独对每个 FQDN/SAN进行域验证

注意: 电子邮件和基于 DNS 的 DCV 方法不受影响。

 

即将对基于文件的验证进行更改的图示

证书中的 FQDN/SAN域验证文件的位置是否允许在 2021 年 11 月 14 日或之前签发的证书?是否允许在 2021 年 11 月 15 日之后颁发的证书?
例子.com例子.com是的是的
子.example.com子.example.com是的是的
子.example.com例子.com是的
*.example.com例子.com是的
www.example.com例子.com是的
www.sub.example.com子.example.com是的


目前,对于许多 DCV 方法,CA/B 论坛基线要求考虑 FQDN(例如 subdomain2.subdomain.example.com)或通配符域(例如 *.subdomain.example.com)在其基本域(例如example.com)或其他高级域名(例如subdomain.example.com)被验证。


但是,当使用基于文件的验证时,策略更改将需要对每个 FQDN/SAN 进行单独验证,并且通配符证书将完全禁止基于文件的验证,因为通配符域名不被视为 FQDN。

请注意,此更改不适用于基于电子邮件和 DNS 的验证, 它们仍可用于通配符证书,并可在基本域级别或其他共享上级域执行以验证子域和通配符域。

政策变更预计将于202111 月 15 日生效

发表于:

没有评论:

发表评论