A partir de 2 de dezembro de 2024, o método de validação de controle de domínio de e-mail (DCV) baseado em WHOIS para obter SSL/TLS certificados não serão mais aceitos pelo SSL.com. Foi provado recentemente por especialistas da indústria que ele é vulnerável, resultando em uma retirada futura pelo CA/Browser Forum.
Pesquisadores de segurança da watchTowr descobriram recentemente uma vulnerabilidade ao registrar um domínio expirado que já foi usado como o lar oficial de um servidor WHOIS autoritativo. Mais de 135,000 sistemas continuaram a consultar seu servidor desonesto, permitindo a emissão potencial de SSL/TLS certificados. Este incidente expôs falhas significativas no sistema WHOIS. Em resposta, o Google proposto uma votação do CA/Browser Forum para eliminar gradualmente o WHOIS e outras fontes de informações de contato de domínio como um método de validação de domínio. A proposta do Google descreve as seguintes mudanças que todas as autoridades de certificação serão obrigadas a implementar antes de 15 de julho de 2025:
- As Autoridades de Certificação (ACs) não terão mais permissão para usar informações de Contato de Domínio.
- As CAs serão proibidas de reutilizar validações de domínio que se baseiem em dados de contato de domínio.
Como essa mudança afetará os clientes do SSL.com?
Não incluiremos endereços de e-mail do WHOIS, RDAP ou outras fontes de Contato de Domínio no processo de validação de domínio. Na sua conta SSL.com, ao validar um domínio, o menu suspenso não incluirá endereços de e-mail previamente escolhidos do seu Registrador de Nome de Domínio. Além disso, as validações existentes baseadas em Contato de Domínio não serão mais reutilizáveis para reemissão ou renovação de certificados. Você precisará revalidar seus domínios usando um método alternativo.O que os clientes do SSL.com devem fazer a seguir?
Para se preparar para essa mudança, você precisará mudar para um método DCV diferente antes de 2 de dezembro de 2024. Outras opções para DCV são explicadas na próxima seção.Quais outras opções são oferecidas pelo SSL.com?
À medida que a indústria se afasta dos dados de contato de domínio, recomendamos que os usuários façam a transição para um dos outros métodos DCV suportados o mais rápido possível. O SSL.com oferece várias alternativas listadas abaixo. Para um guia completo sobre métodos DCV, consulte este artigo do SSL.com: Quais são os requisitos para SSL.com SSL /TLS Validação de domínio de certificado?- Resposta ao desafio por e-mail
Após fazer seu pedido, um e-mail será enviado para um endereço autorizado. Siga o link no e-mail e insira o código de validação para estabelecer o controle do domínio. - Pesquisa de arquivo via HTTP/HTTPS
Carregue um arquivo específico para seu site que contenha dados com hash da sua Solicitação de Assinatura de Certificado (CSR), bem como um token exclusivo fornecido por SSL.com. Assim que o arquivo for colocado corretamente, o controle do domínio será confirmado. - Pesquisa DNS CNAME
Crie um registro CNAME no DNS do seu domínio que aponte para SSL.com. Esta entrada deve incluir os hashes MD5 e SHA-256 do CSR e um token único.