Fra den 2. december 2024, den WHOIS-baserede e-mail domænekontrol validering (DCV) metode til at opnå SSL/TLS certifikater vil ikke længere blive accepteret af SSL.com. Det er for nylig blevet bevist af brancheeksperter at være sårbart, hvilket resulterer i en kommende tilbagetrækning af CA/Browser Forum.
Sikkerhedsforskere fra watchTowr opdagede for nylig en sårbarhed ved at registrere et udløbet domæne, der engang blev brugt som det officielle hjemsted for en autoritativ WHOIS-server. Over 135,000 systemer fortsatte med at forespørge på deres useriøse server, hvilket muliggjorde potentiel udstedelse af falsk SSL/TLS certifikater. Denne hændelse afslørede betydelige fejl i WHOIS-systemet. Som svar, Google foreslog en CA/Browser Forum-afstemning for at udfase WHOIS og andre domænekontaktoplysninger som en domænevalideringsmetode. Googles forslag skitserer følgende ændringer, som alle certifikatmyndigheder skal implementere inden den 15. juli 2025:
- Certificeringsmyndigheder (CA'er) vil ikke længere have tilladelse til at bruge oplysninger om domænekontakt.
- CA'er vil have forbud mod at genbruge domænevalideringer, der var afhængige af domænekontaktdata.
Hvordan vil denne ændring påvirke SSL.com-kunder?
Vi vil ikke inkludere e-mailadresser fra WHOIS, RDAP eller andre domænekontaktkilder i domænevalideringsprocessen. På din SSL.com-konto, når du validerer et domæne, vil rullemenuen ikke inkludere e-mail-adresser, som tidligere er valgt fra din domænenavneregistrator. Derudover vil eksisterende domænekontaktbaserede valideringer ikke længere kunne genbruges til genudstedelse eller fornyelse af certifikater. Du skal genvalidere dine domæner ved hjælp af en alternativ metode.Hvad skal SSL.com-kunder gøre nu?
For at forberede dig på denne ændring skal du skifte til en anden DCV-metode inden den 2. december 2024. Andre muligheder for DCV er forklaret i næste afsnit.Hvilke andre muligheder tilbydes af SSL.com?
Efterhånden som branchen bevæger sig væk fra domænekontaktdata, anbefaler vi, at brugere skifter til en af de andre understøttede DCV-metoder så hurtigt som muligt. SSL.com tilbyder flere alternativer, som er anført nedenfor. For en komplet vejledning om DCV-metoder, se venligst denne SSL.com-artikel: Hvad er kravene til SSL.com SSL /TLS Validering af certifikatdomæne?- E-mail-udfordringssvar
Når du har afgivet din ordre, vil der blive sendt en e-mail til en autoriseret adresse. Følg linket i e-mailen og indtast valideringskoden for at etablere domænekontrol. - Filopslag via HTTP/HTTPS
Upload en specifik fil til dit websted, der indeholder hash-data fra din anmodning om certifikatsignering (CSR), samt et unikt token leveret af SSL.com. Når filen er placeret korrekt, vil domænekontrol blive bekræftet. - DNS CNAME-opslag
Opret en CNAME-record i dit domænes DNS, der peger på SSL.com. Denne post skal indeholde MD5- og SHA-256-hashene for CSR og en unik token.