Vanaf 2 december 2024 is de WHOIS-gebaseerde e-maildomeincontrolevalidatiemethode (DCV) om SSL/TLS Certificaten worden niet langer geaccepteerd door SSL.com. Onlangs is door experts uit de industrie bewezen dat het kwetsbaar is, wat resulteert in een aanstaande terugtrekking door het CA/Browser Forum.
Beveiligingsonderzoekers van watchTowr ontdekten onlangs een kwetsbaarheid door een verlopen domein te registreren dat ooit werd gebruikt als officiële thuisbasis van een gezaghebbende WHOIS-server. Meer dan 135,000 systemen bleven hun malafide server raadplegen, waardoor er mogelijk valse SSL/TLS certificaten. Dit incident legde significante gebreken in het WHOIS-systeem bloot. Als reactie hierop heeft Google voorgestelde een stemming op het CA/Browser Forum om WHOIS en andere bronnen van domeincontactinformatie geleidelijk af te schaffen als domeinvalidatiemethode. Het voorstel van Google schetst de volgende wijzigingen die alle certificaatautoriteiten vóór 15 juli 2025 moeten implementeren:
- Certificeringsinstanties (CA's) mogen geen domeincontactgegevens meer gebruiken.
- CA's mogen domeinvalidaties die gebaseerd zijn op domeincontactgegevens, niet meer hergebruiken.
Welke gevolgen heeft deze verandering voor SSL.com-klanten?
We zullen geen e-mailadressen van WHOIS, RDAP of andere bronnen van domeincontact opnemen in het domeinvalidatieproces. In uw SSL.com-account zal het dropdownmenu bij het valideren van een domein geen e-mailadressen bevatten die eerder zijn geselecteerd bij uw domeinnaamregistrar. Bovendien zullen bestaande op domeincontacten gebaseerde validaties niet langer herbruikbaar zijn voor het opnieuw uitgeven of vernieuwen van certificaten. U zult uw domeinen opnieuw moeten valideren met een alternatieve methode.Wat moeten SSL.com-klanten nu doen?
Om u voor te bereiden op deze wijziging, moet u vóór 2 december 2024 overstappen op een andere DCV-methode. Andere opties voor DCV worden in de volgende sectie uitgelegd.Welke andere opties biedt SSL.com?
Nu de industrie afstapt van Domain Contact-gegevens, raden we gebruikers aan om zo snel mogelijk over te stappen op een van de andere ondersteunde DCV-methoden. SSL.com biedt verschillende alternatieven die hieronder worden vermeld. Voor een complete gids over DCV-methoden, raadpleeg dit SSL.com-artikel: Wat zijn de vereisten voor SSL.com SSL /TLS Validatie van certificaatdomein?- E-mail Challenge-antwoord
Nadat u uw bestelling heeft geplaatst, wordt er een e-mail verzonden naar een geautoriseerd adres. Volg de link in de e-mail en voer de validatiecode in om domeincontrole te verkrijgen. - Bestandsopzoeking via HTTP/HTTPS
Upload een specifiek bestand naar uw website dat gehashte gegevens uit uw Certificate Signing Request bevat (CSR), evenals een uniek token verstrekt door SSL.com. Zodra het bestand correct is geplaatst, wordt de domeincontrole bevestigd. - DNS CNAME-opzoeken
Maak een CNAME-record in de DNS van uw domein dat naar SSL.com verwijst. Deze invoer moet de MD5- en SHA-256-hashes van de CSR en een uniek token.