2년 2024월 XNUMX일부터 SSL/DCV(WHOIS 기반 이메일 도메인 제어 검증) 방법을 사용하여TLS 인증서는 더 이상 SSL.com에서 허용되지 않습니다. 최근 업계 전문가들이 취약하다고 증명했으며, CA/브라우저 포럼에서 곧 철회될 예정입니다.
watchTowr의 보안 연구원들은 최근 권위 있는 WHOIS 서버의 공식 홈으로 사용되었던 만료된 도메인을 등록함으로써 취약점을 발견했습니다. 135,000개가 넘는 시스템이 계속해서 불량 서버를 쿼리하여 위조된 SSL/TLS 인증서. 이 사건은 WHOIS 시스템의 심각한 결함을 드러냈습니다. 이에 대응하여 Google은 제안 된 도메인 검증 방법으로 WHOIS 및 기타 도메인 연락처 정보 소스를 단계적으로 폐지하기 위한 CA/브라우저 포럼 투표. Google의 제안은 모든 인증 기관이 15년 2025월 XNUMX일 이전에 구현해야 하는 다음과 같은 변경 사항을 설명합니다.
- 인증 기관(CA)은 더 이상 도메인 연락처 정보를 사용할 수 없습니다.
- 인증기관은 도메인 연락처 데이터를 활용한 도메인 검증을 재사용하는 것이 금지됩니다.
이러한 변화는 SSL.com 고객에게 어떤 영향을 미칠까요?
도메인 검증 프로세스에 WHOIS, RDAP 또는 기타 도메인 연락처 소스의 이메일 주소를 포함하지 않습니다. SSL.com 계정에서 도메인을 검증할 때 드롭다운 메뉴에는 이전에 도메인 이름 등록 기관에서 선택한 이메일 주소가 포함되지 않습니다. 또한 기존 도메인 연락처 기반 검증은 더 이상 인증서를 재발급하거나 갱신하는 데 재사용할 수 없습니다. 대체 방법을 사용하여 도메인을 다시 검증해야 합니다.SSL.com 고객은 다음으로 무엇을 해야 합니까?
이 변경 사항에 대비하려면 2년 2024월 XNUMX일 이전에 다른 DCV 방식으로 전환해야 합니다. DCV에 대한 다른 옵션은 다음 섹션에서 설명합니다.SSL.com은 어떤 다른 옵션을 제공하나요?
업계가 도메인 연락처 데이터에서 벗어나고 있으므로 사용자는 가능한 한 빨리 다른 지원되는 DCV 방법 중 하나로 전환하는 것이 좋습니다. SSL.com은 아래에 나열된 여러 가지 대안을 제공합니다. DCV 방법에 대한 전체 가이드는 이 SSL.com 기사를 참조하세요. SSL.com SSL /에 대한 요구 사항은 무엇입니까?TLS 인증서 도메인 검증?- 이메일 챌린지 응답
주문 후, 승인된 주소로 이메일이 전송됩니다. 이메일의 링크를 따라가서 검증 코드를 입력하여 도메인 제어를 설정하세요. - HTTP/HTTPS를 통한 파일 조회
인증서 서명 요청에서 해시된 데이터가 포함된 특정 파일을 웹사이트에 업로드합니다.CSR), 그리고 SSL.com에서 제공하는 고유한 토큰. 파일이 제대로 배치되면 도메인 제어가 확인됩니다. - DNS CNAME 조회
SSL.com을 가리키는 도메인의 DNS에 CNAME 레코드를 만듭니다. 이 항목에는 MD5 및 SHA-256 해시가 포함되어야 합니다. CSR 그리고 고유한 토큰.