Fra og med 2. desember 2024, den WHOIS-baserte e-postdomenekontrollvalideringsmetoden (DCV) for å få SSL/TLS sertifikater vil ikke lenger bli akseptert av SSL.com. Det har nylig blitt bevist av bransjeeksperter å være sårbart, noe som resulterer i en kommende tilbaketrekking av CA/Browser Forum.
Sikkerhetsforskere fra watchTowr oppdaget nylig en sårbarhet ved å registrere et utløpt domene en gang brukt som det offisielle hjemmet til en autoritativ WHOIS-server. Over 135,000 XNUMX systemer fortsatte å spørre etter deres useriøse server, noe som muliggjorde potensiell utstedelse av forfalsket SSL/TLS sertifikater. Denne hendelsen avslørte betydelige feil i WHOIS-systemet. Som svar, Google foreslått en CA/Browser Forum stemmeseddel for å fase ut WHOIS og andre informasjonskilder for domenekontakt som en domenevalideringsmetode. Googles forslag skisserer følgende endringer som alle sertifiseringsmyndigheter må implementere før 15. juli 2025:
- Sertifiseringsinstanser (CAer) vil ikke lenger ha tillatelse til å bruke informasjon om domenekontakt.
- CAer vil ha forbud mot å gjenbruke domenevalideringer som var avhengige av domenekontaktdata.
Hvordan vil denne endringen påvirke SSL.com-kunder?
Vi vil ikke inkludere e-postadresser fra WHOIS, RDAP eller andre domenekontaktkilder i domenevalideringsprosessen. På SSL.com-kontoen din, når du validerer et domene, vil ikke rullegardinmenyen inkludere e-postadresser som tidligere er valgt fra domenenavnregistratoren. I tillegg vil eksisterende domenekontaktbaserte valideringer ikke lenger være gjenbrukbare for gjenutstedelse eller fornyelse av sertifikater. Du må validere domenene dine på nytt ved å bruke en alternativ metode.Hva bør SSL.com-kunder gjøre videre?
For å forberede deg på denne endringen, må du bytte til en annen DCV-metode før 2. desember 2024. Andre alternativer for DCV er forklart i neste avsnitt.Hvilke andre alternativer tilbys av SSL.com?
Ettersom bransjen beveger seg bort fra domenekontaktdata, anbefaler vi at brukere går over til en av de andre støttede DCV-metodene så snart som mulig. SSL.com tilbyr flere alternativer som er oppført nedenfor. For en fullstendig veiledning om DCV-metoder, se denne SSL.com-artikkelen: Hva er kravene til SSL.com SSL /TLS Validering av sertifikatdomener?- Svar på e-postutfordring
Etter at du har lagt inn bestillingen, vil en e-post bli sendt til en autorisert adresse. Følg koblingen i e-posten og skriv inn valideringskoden for å etablere domenekontroll. - Filoppslag via HTTP/HTTPS
Last opp en spesifikk fil til nettstedet ditt som inneholder hash-data fra forespørselen om sertifikatsignering (CSR), samt et unikt token levert av SSL.com. Når filen er riktig plassert, vil domenekontrollen bli bekreftet. - DNS CNAME-oppslag
Opprett en CNAME-post i domenets DNS som peker til SSL.com. Denne oppføringen må inkludere MD5- og SHA-256-hashene til CSR og et unikt symbol.