近日,Digicert 针对三个月前 CA/B Forum 发布的SSL 证书域名验证的两大变更做出了以下回应:
- 从 2021 年 9 月 27 日起,Digicert SSL证书每 397 天需重新进行域名验证;
- 从 2021 年 11 月 15 日起,Digicert 通配符SSL 证书不支持文件验证域名,如对非通配符证书使用文件验证域名,每个 SAN 或 FQDN 都需要进行独立的域名验证
注:当前在使用文件验证完成 DCV 时,如果证书中即有顶级域名又有子域名,只需完成顶级域名即可通过全部的 DCV 验证。
自 11 月 15 日起,申请非通配符SSL 证书时如果使用文件验证完成 DCV,则顶级域名和子域名需分别完成验证。
同时 Digicert 指出,本次 SSL 证书策略变更适用于新申请、续费、重签和已通过 DCV 的所有域名。已签发的 SSL 证书不受影响。
SSL 证书域名验证策略变更影响
- 2021年 9 月 27 日起,Digicert 证书系统将域名验证有效期从 825 天缩短为 397 天。
- 新规生效后,已通过 DCV 验证域名的有效状态,会因此发生变化。其验证状态可能从“已验证”变为“待验证“,从而导致无法即时签发与该域名相关的 SSL 证书。必须要重新完成域名验证,才能新签或者重签该域名相关的 SSL 证书。
- 已经签发的 SSL 证书,不会受到任何影响!
- 2021年 11 月 15 日开始,Digicert 通配符证书将不再支持使用文件验证的方式完成 DCV,在非通配符证书中使用这种方法进行域名验证时,每个 SAN 或 FQDN 都需要进行独立的域名验证。
(文件验证规则变更前后示例图)
解决方案
1. 定期做域名验证
已完成 DCV 验证的域名有效期仅为 397 天,也就意味着不论您是新申请、续费还是重签 SSL 证书,每隔 397 天都需重新完成域名验证,否则会影响您获取新证书。
- 更改通配符域名验证方式为邮件验证或 DNS 验证
由于 SSL 通配符域名验证将不再支持文件验证,建议您使用邮件验证或 DNS 验证。
- 验证每一个 SAN/FQDN
非通配符 SSL 证书使用文件验证方式完成 DCV 验证时,需要对每一个 SAN/FQDN,即对所有的顶级域名和子域名进行验证,包括所有带有“www”的 SAN。
本文为原创文章,版权归主机之家测评所有,欢迎分享本文,转载请保留出处!
你可能也喜欢
- ♥ RAKsmart:爆款裸机云,E5-2620/32G 内存/1T HDD/不限流量/100Mbps 带宽,仅$ 69/月10/25
- ♥ SSL 证书域名验证重大变更:2021 年 12 月 1 日起,通配符证书不支持文件验证!05/08
- ♥ DYNADOT:四月的微风,温暖和 DYNADOT 特惠都如约而至, .COM 特惠转移 56 元,.ME 首年注册仅需 22 元04/07
- ♥ best-hoster:俄罗斯 VPS,23.9 元/月,1G 内存/1 核/10gSSD/不限流量04/20
- ♥ ChemiCloud:冬季促销,虚拟主机$2.99/月起,经销商主机享受 70% 折扣,$2.99/月起,Cloud VPS 首月 50%折扣12/30
- ♥ Atcloud:全场 8 折优惠/可选美国/新加坡等 6 机房/512M 内存/1 核/500g 硬盘/2T 流量/480G 高防$4/月07/02