自 2 年 2024 月 XNUMX 日起,基于 WHOIS 的电子邮件域控制验证 (DCV) 方法可获得 SSL/TLS SSL.com 将不再接受该证书。行业专家最近证实该证书存在漏洞,导致 CA/浏览器论坛即将撤回该证书。
watchTowr 的安全研究人员最近发现了一个漏洞,该漏洞通过注册一个过期的域名而存在,该域名曾被用作权威 WHOIS 服务器的官方主页。超过 135,000 个系统继续查询其恶意服务器,从而有可能发行伪造的 SSL/TLS 证书。这一事件暴露了 WHOIS 系统的重大缺陷。作为回应,谷歌 建议 CA/浏览器论坛投票决定逐步淘汰 WHOIS 和其他域名联系信息源作为域名验证方法。谷歌的提案概述了所有证书颁发机构必须在 15 年 2025 月 XNUMX 日之前实施的以下变更:
- 认证机构 (CA) 将不再被允许使用域联系信息。
- 禁止 CA 重复使用依赖域联系人数据的域验证。
这一变化将如何影响 SSL.com 客户?
我们不会在域名验证过程中包含来自 WHOIS、RDAP 或其他域名联系人来源的电子邮件地址。在您的 SSL.com 帐户中,验证域名时,下拉菜单将不包含之前从您的域名注册商处挑选的电子邮件地址。此外,现有的基于域名联系人的验证将不再可用于重新颁发或续订证书。您需要使用其他方法重新验证您的域名。SSL.com 客户下一步应该做什么?
为了应对这一变化,您需要在 2 年 2024 月 XNUMX 日之前切换到其他 DCV 方法。下一节将介绍 DCV 的其他选项。SSL.com 还提供哪些其他选项?
随着行业逐渐放弃使用域联系人数据,我们建议用户尽快过渡到其他受支持的 DCV 方法之一。SSL.com 提供了几种替代方案,如下所示。有关 DCV 方法的完整指南,请参阅此 SSL.com 文章: SSL.com的要求是什么SSL /TLS 证书域验证?- 电子邮件质询响应
下订单后,系统会向您的授权地址发送一封电子邮件。点击电子邮件中的链接并输入验证码即可建立域控制。 - 通过 HTTP/HTTPS 查找文件
将包含证书签名请求中的哈希数据的特定文件上传到您的网站 (CSR),以及 SSL.com 提供的唯一令牌。文件放置正确后,即可确认域控制。 - DNS CNAME 查找
在您的域的 DNS 中创建指向 SSL.com 的 CNAME 记录。此条目必须包含以下 MD5 和 SHA-256 哈希值: CSR 和一个独特的令牌。