A partire dal 2 dicembre 2024, il metodo di convalida del controllo del dominio di posta elettronica (DCV) basato su WHOIS per ottenere SSL/TLS i certificati non saranno più accettati da SSL.com. Di recente, gli esperti del settore hanno dimostrato che è vulnerabile, il che ha portato a un imminente ritiro da parte del CA/Browser Forum.
I ricercatori di sicurezza di watchTowr hanno recentemente scoperto una vulnerabilità registrando un dominio scaduto, un tempo utilizzato come home page ufficiale di un server WHOIS autorevole. Oltre 135,000 sistemi hanno continuato a interrogare il loro server non autorizzato, consentendo il potenziale rilascio di SSL/TLS certificati. Questo incidente ha evidenziato difetti significativi nel sistema WHOIS. In risposta, Google proposto una votazione del CA/Browser Forum per eliminare gradualmente WHOIS e altre fonti di informazioni Domain Contact come metodo di convalida del dominio. La proposta di Google delinea le seguenti modifiche che tutte le autorità di certificazione saranno tenute a implementare prima del 15 luglio 2025:
- Alle autorità di certificazione (CA) non sarà più consentito utilizzare le informazioni di contatto del dominio.
- Alle CA sarà vietato riutilizzare le convalide di dominio basate sui dati dei contatti di dominio.
Che impatto avrà questo cambiamento sui clienti di SSL.com?
Non includeremo indirizzi email da WHOIS, RDAP o altre fonti Domain Contact nel processo di convalida del dominio. Nel tuo account SSL.com, quando convalidi un dominio, il menu a discesa non includerà gli indirizzi email precedentemente selezionati dal tuo Domain Name Registrar. Inoltre, le convalide basate su Domain Contact esistenti non saranno più riutilizzabili per riemettere o rinnovare i certificati. Dovrai convalidare nuovamente i tuoi domini utilizzando un metodo alternativo.Cosa dovrebbero fare ora i clienti di SSL.com?
Per prepararti a questo cambiamento, dovrai passare a un metodo DCV diverso prima del 2 dicembre 2024. Altre opzioni per DCV sono spiegate nella sezione successiva.Quali altre opzioni offre SSL.com?
Poiché il settore si allontana dai dati di Domain Contact, consigliamo agli utenti di passare a uno degli altri metodi DCV supportati il prima possibile. SSL.com offre diverse alternative elencate di seguito. Per una guida completa sui metodi DCV, fare riferimento a questo articolo di SSL.com: Quali sono i requisiti per SSL.com SSL/TLS Convalida del dominio del certificato?- Email di risposta alla sfida
Dopo aver effettuato l'ordine, verrà inviata un'e-mail a un indirizzo autorizzato. Segui il link nell'e-mail e inserisci il codice di convalida per stabilire il controllo del dominio. - Ricerca file tramite HTTP/HTTPS
Carica sul tuo sito web un file specifico contenente dati hash dalla tua richiesta di firma del certificato (CSR), così come un token univoco fornito da SSL.com. Una volta che il file è stato posizionato correttamente, il controllo del dominio sarà confermato. - Ricerca DNS CNAME
Crea un record CNAME nel DNS del tuo dominio che punti a SSL.com. Questa voce deve includere gli hash MD5 e SHA-256 del CSR e un token univoco.