Ab dem 2. Dezember 2024 wird die WHOIS-basierte E-Mail-Domain-Control-Validierung (DCV) zur Erlangung von SSL/TLS Zertifikate werden von SSL.com nicht mehr akzeptiert. Branchenexperten haben kürzlich nachgewiesen, dass es anfällig ist, was zu einem bevorstehenden Rückzug durch das CA/Browser Forum führt.
Sicherheitsforscher von watchTowr entdeckten kürzlich eine Schwachstelle bei der Registrierung einer abgelaufenen Domain, die einst als offizielle Heimat eines autoritativen WHOIS-Servers verwendet wurde. Über 135,000 Systeme fragten weiterhin ihren Rogue-Server ab, was die potenzielle Ausgabe gefälschter SSL/TLS Zertifikate. Dieser Vorfall deckte erhebliche Mängel im WHOIS-System auf. Als Reaktion darauf hat Google vorgeschlage eine Abstimmung des CA/Browser-Forums zur schrittweisen Abschaffung von WHOIS und anderen Domänenkontakt-Informationsquellen als Domänenvalidierungsmethode. Der Vorschlag von Google umreißt die folgenden Änderungen, die alle Zertifizierungsstellen vor dem 15. Juli 2025 umsetzen müssen:
- Zertifizierungsstellen (CAs) ist es nicht mehr gestattet, Domänenkontaktinformationen zu verwenden.
- Den Zertifizierungsstellen wird die Wiederverwendung von Domänenvalidierungen untersagt, die auf Domänenkontaktdaten basieren.
Welche Auswirkungen hat diese Änderung auf die Kunden von SSL.com?
Wir werden keine E-Mail-Adressen von WHOIS, RDAP oder anderen Domänenkontaktquellen in den Domänenvalidierungsprozess einbeziehen. Wenn Sie in Ihrem SSL.com-Konto eine Domäne validieren, enthält das Dropdown-Menü keine E-Mail-Adressen, die zuvor von Ihrem Domänennamen-Registrar ausgewählt wurden. Darüber hinaus können vorhandene auf Domänenkontakten basierende Validierungen nicht mehr zum Neuausstellen oder Erneuern von Zertifikaten wiederverwendet werden. Sie müssen Ihre Domänen mit einer alternativen Methode erneut validieren.Was sollten SSL.com-Kunden als nächstes tun?
Um sich auf diese Änderung vorzubereiten, müssen Sie vor dem 2. Dezember 2024 auf eine andere DCV-Methode umsteigen. Weitere Optionen für DCV werden im nächsten Abschnitt erläutert.Welche anderen Optionen bietet SSL.com?
Da sich die Branche von Domänenkontaktdaten abwendet, empfehlen wir Benutzern, so schnell wie möglich auf eine der anderen unterstützten DCV-Methoden umzusteigen. SSL.com bietet mehrere Alternativen, die unten aufgeführt sind. Eine vollständige Anleitung zu DCV-Methoden finden Sie in diesem SSL.com-Artikel: Was sind die Anforderungen für SSL.com SSL /TLS Validierung der Zertifikatsdomäne?- E-Mail-Challenge-Antwort
Nach der Bestellung wird eine E-Mail an eine autorisierte Adresse gesendet. Folgen Sie dem Link in der E-Mail und geben Sie den Validierungscode ein, um die Domänenkontrolle einzurichten. - Dateisuche über HTTP/HTTPS
Laden Sie eine bestimmte Datei auf Ihre Website hoch, die gehashte Daten aus Ihrer Zertifikatsignieranforderung enthält (CSR), sowie ein eindeutiges Token von SSL.com. Sobald die Datei richtig platziert ist, wird die Domänenkontrolle bestätigt. - DNS CNAME-Suche
Erstellen Sie einen CNAME-Eintrag im DNS Ihrer Domäne, der auf SSL.com verweist. Dieser Eintrag muss die MD5- und SHA-256-Hashes des CSR und ein eindeutiges Token.