Från och med den 2 december 2024, den WHOIS-baserade metoden för validering av e-postdomänkontroll (DCV) för att erhålla SSL/TLS certifikat kommer inte längre att accepteras av SSL.com. Det har nyligen visat sig av branschexperter att vara sårbart, vilket resulterar i ett kommande tillbakadragande av CA/Browser Forum.
Säkerhetsforskare från watchTowr upptäckte nyligen en sårbarhet genom att registrera en utgången domän som en gång använts som det officiella hemmet för en auktoritativ WHOIS-server. Över 135,000 XNUMX system fortsatte att fråga efter sin oseriösa server, vilket möjliggjorde potentiellt utfärdande av förfalskade SSL/TLS certifikat. Denna incident avslöjade betydande brister i WHOIS-systemet. Som svar, Google föreslagen en CA/Browser Forum-omröstning för att fasa ut WHOIS och andra domänkontaktinformationskällor som en domänvalideringsmetod. Googles förslag beskriver följande ändringar som alla certifikatmyndigheter måste implementera före den 15 juli 2025:
- Certifieringsmyndigheter (CA) kommer inte längre att tillåtas använda domänkontaktinformation.
- CA:er kommer att vara förbjudna att återanvända domänvalideringar som förlitade sig på domänkontaktdata.
Hur kommer denna förändring att påverka SSL.com-kunder?
Vi kommer inte att inkludera e-postadresser från WHOIS, RDAP eller andra domänkontaktkällor i domänvalideringsprocessen. I ditt SSL.com-konto, när du validerar en domän, kommer rullgardinsmenyn inte att inkludera e-postadresser som tidigare valts från din domännamnsregistrator. Dessutom kommer befintliga domänkontaktbaserade valideringar inte längre att kunna återanvändas för återutgivning eller förnyelse av certifikat. Du måste omvalidera dina domäner med en alternativ metod.Vad ska SSL.com-kunder göra härnäst?
För att förbereda dig för denna förändring måste du byta till en annan DCV-metod före den 2 december 2024. Andra alternativ för DCV förklaras i nästa avsnitt.Vilka andra alternativ erbjuds av SSL.com?
När branschen går bort från domänkontaktdata rekommenderar vi att användare går över till någon av de andra DCV-metoderna som stöds så snart som möjligt. SSL.com erbjuder flera alternativ som listas nedan. För en komplett guide om DCV-metoder, se denna SSL.com-artikel: Vilka är kraven för SSL.com SSL /TLS Validering av certifikatdomän?- E-postutmaningssvar
Efter att du har lagt din beställning kommer ett e-postmeddelande att skickas till en auktoriserad adress. Följ länken i e-postmeddelandet och ange valideringskoden för att upprätta domänkontroll. - Filsökning via HTTP/HTTPS
Ladda upp en specifik fil till din webbplats som innehåller hashade data från din begäran om certifikatsignering (CSR), samt en unik token från SSL.com. När filen är korrekt placerad kommer domänkontrollen att bekräftas. - DNS CNAME-sökning
Skapa en CNAME-post i din domäns DNS som pekar mot SSL.com. Den här posten måste innehålla MD5- och SHA-256-hasharna för CSR och en unik token.