À compter du 2 décembre 2024, la méthode de validation du contrôle de domaine de messagerie (DCV) basée sur WHOIS pour obtenir SSL/TLS Les certificats SSL.com ne seront plus acceptés. Des experts du secteur ont récemment prouvé leur vulnérabilité, ce qui entraînera un retrait prochain du CA/Browser Forum.
Les chercheurs en sécurité de watchTowr ont récemment découvert une vulnérabilité en enregistrant un domaine expiré autrefois utilisé comme adresse officielle d'un serveur WHOIS faisant autorité. Plus de 135,000 XNUMX systèmes ont continué à interroger leur serveur malveillant, ce qui a permis l'émission potentielle de certificats SSL/SSL contrefaits.TLS certificats. Cet incident a révélé des failles importantes dans le système WHOIS. En réponse, Google proposé un vote du CA/Browser Forum visant à éliminer progressivement le WHOIS et d'autres sources d'informations de contact de domaine comme méthode de validation de domaine. La proposition de Google décrit les changements suivants que toutes les autorités de certification devront mettre en œuvre avant le 15 juillet 2025 :
- Les autorités de certification (AC) ne seront plus autorisées à utiliser les informations de contact du domaine.
- Il sera interdit aux autorités de certification de réutiliser les validations de domaine qui s’appuient sur les données de contact du domaine.
Quel impact ce changement aura-t-il sur les clients de SSL.com ?
Nous n'inclurons pas les adresses e-mail provenant de WHOIS, RDAP ou d'autres sources de contact de domaine dans le processus de validation du domaine. Dans votre compte SSL.com, lors de la validation d'un domaine, le menu déroulant n'inclura pas les adresses e-mail précédemment sélectionnées auprès de votre bureau d'enregistrement de noms de domaine. De plus, les validations existantes basées sur le contact de domaine ne seront plus réutilisables pour la réémission ou le renouvellement des certificats. Vous devrez revalider vos domaines à l'aide d'une méthode alternative.Que doivent faire ensuite les clients de SSL.com ?
Pour vous préparer à ce changement, vous devrez passer à une autre méthode de DCV avant le 2 décembre 2024. D'autres options pour DCV sont expliquées dans la section suivante.Quelles autres options sont proposées par SSL.com ?
Alors que le secteur s'éloigne des données de contact de domaine, nous recommandons aux utilisateurs de passer à l'une des autres méthodes DCV prises en charge dès que possible. SSL.com propose plusieurs alternatives répertoriées ci-dessous. Pour un guide complet sur les méthodes DCV, veuillez vous référer à cet article de SSL.com : Quelles sont les exigences pour SSL.com SSL /TLS Validation du domaine du certificat?- Réponse au défi par courriel
Après avoir passé votre commande, un e-mail sera envoyé à une adresse autorisée. Suivez le lien dans l'e-mail et entrez le code de validation pour établir le contrôle du domaine. - Recherche de fichiers via HTTP/HTTPS
Téléchargez un fichier spécifique sur votre site Web contenant des données hachées provenant de votre demande de signature de certificat (CSR), ainsi qu'un jeton unique fourni par SSL.com. Une fois le fichier correctement placé, le contrôle du domaine sera confirmé. - Recherche DNS CNAME
Créez un enregistrement CNAME dans le DNS de votre domaine qui pointe vers SSL.com. Cette entrée doit inclure les hachages MD5 et SHA-256 de l' CSR et un jeton unique.