近日,Digicert 针对三个月前 CA/B Forum 发布的SSL 证书域名验证的两大变更做出了以下回应:
- 从 2021 年 9 月 27 日起,Digicert SSL证书每 397 天需重新进行域名验证;
- 从 2021 年 11 月 15 日起,Digicert 通配符SSL 证书不支持文件验证域名,如对非通配符证书使用文件验证域名,每个 SAN 或 FQDN 都需要进行独立的域名验证
注:当前在使用文件验证完成 DCV 时,如果证书中即有顶级域名又有子域名,只需完成顶级域名即可通过全部的 DCV 验证。
自 11 月 15 日起,申请非通配符 SSL 证书时如果使用文件验证完成 DCV,则顶级域名和子域名需分别完成验证。
同时 Digicert 指出,本次 SSL 证书策略变更适用于新申请、续费、重签和已通过 DCV 的所有域名。已签发的 SSL 证书不受影响。
SSL 证书域名验证策略变更影响
- 2021年 9 月 27 日起,Digicert 证书系统将域名验证有效期从 825 天缩短为 397 天。
- 新规生效后,已通过 DCV 验证域名的有效状态,会因此发生变化。其验证状态可能从“已验证”变为“待验证“,从而导致无法即时签发与该域名相关的 SSL 证书。必须要重新完成域名验证,才能新签或者重签该域名相关的 SSL 证书。
- 已经签发的 SSL 证书,不会受到任何影响!
- 2021年 11 月 15 日开始,Digicert 通配符证书将不再支持使用文件验证的方式完成 DCV,在非通配符证书中使用这种方法进行域名验证时,每个 SAN 或 FQDN 都需要进行独立的域名验证。
(文件验证规则变更前后示例图)
解决方案
1. 定期做域名验证
已完成 DCV 验证的域名有效期仅为 397 天,也就意味着不论您是新申请、续费还是重签 SSL 证书,每隔 397 天都需重新完成域名验证,否则会影响您获取新证书。
- 更改通配符域名验证方式为邮件验证或 DNS 验证
由于 SSL 通配符域名验证将不再支持文件验证,建议您使用邮件验证或 DNS 验证。
- 验证每一个 SAN/FQDN
非通配符 SSL 证书使用文件验证方式完成 DCV 验证时,需要对每一个 SAN/FQDN,即对所有的顶级域名和子域名进行验证,包括所有带有“www”的 SAN。
声明:1、本博客不从事任何主机及服务器租赁业务,不参与任何交易,也绝非中介。博客内容仅记录博主个人感兴趣的服务器测评结果及一些服务器相关的优惠活动,信息均摘自网络或来自服务商主动提供;所以对本博客提及的内容不作直接、间接、法定、约定的保证,博客内容也不具备任何参考价值及引导作用,访问者需自行甄别。2、访问本博客请务必遵守有关互联网的相关法律、规定与规则;不能利用本博客所提及的内容从事任何违法、违规操作;否则造成的一切后果由访问者自行承担。3、未成年人及不能独立承担法律责任的个人及群体请勿访问本博客。4、一旦您访问本博客,即表示您已经知晓并接受了以上声明通告。
你可能也喜欢
- ♥ drServer:美国便宜服务器,达拉斯机房,英特尔 Atom™ C2750-8 核/8G 内存/240G SSD 硬盘/不限流量/100Mbps 带宽,$12/月起04/26
- ♥ RAKsmart:美国独立服务器秒杀$30/月,云服务器全场 7 折,站群服务器/大带宽服务器持续热卖11/14
- ♥ UCloud 年度大促:.com 域名注册首年 20 元.cn 首年 10 元 SSL 证书 30 元09/24
- ♥ ChemiCloud:黑五优惠汇总,全年最便宜,续费永久优惠 50%,首购高达 80%优惠11/16
- ♥ RAKsmart:双 11 来了,年终钜惠,100 美元免费领,爆款 VPS 仅 0.99 美元11/02
- ♥ UCloud:优刻得 CDN 国内/国际流量包超值特惠 0.088 元/GB 起,优质自建节点,TOP20 的互联网公司基本都在用05/10
