Fra den 2. december 2024, den WHOIS-baserede e-mail domænekontrol validering (DCV) metode til at opnå SSL/TLS Certifikater vil ikke længere blive accepteret af SSL.com. Det er for nylig blevet bevist af brancheeksperter at være sårbart, hvilket resulterer i en kommende tilbagetrækning fra CA/Browser Forum.
Sikkerhedsforskere fra watchTowr opdagede for nylig en sårbarhed ved at registrere et udløbet domæne, der engang blev brugt som det officielle hjemsted for en autoritativ WHOIS-server. Over 135,000 systemer fortsatte med at forespørge på deres useriøse server, hvilket muliggjorde potentiel udstedelse af falsk SSL/TLS certifikater. Denne hændelse afslørede betydelige fejl i WHOIS-systemet. Som svar, Google foreslog en CA/Browser Forum-afstemning om at udfase WHOIS og andre domænekontaktinformationskilder som en domænevalideringsmetode.
Googles forslag beskriver følgende ændringer, som alle certifikatmyndigheder skal implementere inden 15. juli 2025:
- Certificeringsmyndigheder (CA'er) vil ikke længere have tilladelse til at bruge oplysninger om domænekontakt.
- CA'er vil have forbud mod at genbruge domænevalideringer, der var afhængige af domænekontaktdata.
Hos SSL.com støtter vi dette forslag fra Google, og vi planlægger udfasningen af denne metode tidligt den 2. december 2024 med en overflod af forsigtighed.
Hvordan vil denne ændring påvirke SSL.com-kunder?
Vi vil ikke inkludere e-mailadresser fra WHOIS, RDAP eller andre domænekontaktkilder i domænevalideringsprocessen. I din SSL.com-konto, når du validerer et domæne, vil rullemenuen ikke inkludere e-mailadresser, der tidligere er valgt fra din domænenavnsregistrator.
Derudover vil eksisterende valideringer baseret på domænekontakter ikke længere kunne genbruges til genudstedelse eller fornyelse af certifikater. Du skal genvalidere dine domæner ved hjælp af en alternativ metode.
Hvad skal SSL.com-kunder gøre nu?
For at forberede dig på denne ændring skal du skifte til en anden DCV-metode inden den 2. december 2024.
Andre muligheder for DCV forklares i næste afsnit.
Hvilke andre muligheder tilbydes af SSL.com?
Efterhånden som branchen bevæger sig væk fra domænekontaktdata, anbefaler vi, at brugere skifter til en af de andre understøttede DCV-metoder så hurtigt som muligt. SSL.com tilbyder flere alternativer, som er anført nedenfor. For en komplet vejledning om DCV-metoder, se venligst denne SSL.com-artikel: Hvad er kravene til SSL.com SSL /TLS Validering af certifikatdomæne?
- E-mail-udfordringssvar
Når du har afgivet din ordre, vil der blive sendt en e-mail til en autoriseret adresse. Følg linket i e-mailen og indtast valideringskoden for at etablere domænekontrol. - Filopslag via HTTP/HTTPS
Upload en specifik fil til dit websted, der indeholder hash-data fra din anmodning om certifikatsignering (CSR), samt et unikt token leveret af SSL.com. Når filen er placeret korrekt, vil domænekontrol blive bekræftet. - DNS CNAME-opslag
Opret en CNAME-record i dit domænes DNS, der peger på SSL.com. Denne post skal indeholde MD5- og SHA-256-hashene for CSR og en unik token.
Kontakt SSL.com
Kontakt SSL.com Support Team
Hvis du har spørgsmål eller har brug for støtte under denne overgang, tøv ikke med at nå ud til os via e-mail på support@SSL.com eller Brug vores chat til at løse tekniske supportproblemer.
Kontakt SSL.com salgsteam
Hvis din organisation har en dedikeret SSL.com-salgsagent, kan du kontakte dem direkte. Alternativt kan du sende en e-mail til vores salgsteam på sales@SSL.com eller kontakte os nedenfor.
