关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

从2021年10月1日开始,SSL证书必须每398天重新验证域名

发布时间:2021-05-11 17:13:17

  

  根据CA/B论坛的通知,从2021年10月1日开始,SSL证书必须每398天重新验证域名。同年12月1日起,通配符SSL证书不支持文件认证域名。此次域名认证的重大更改将影响证书申请时域名解析方法的选择和域名解析有效期。注:此政策更改是对所有新证书的申请、更新、重新签名,发行的TLS/SSL证书不受影响。

  SSL证书域名认证的两个主要更改


1620445916_60960adc51001c89ebc4d (1).jpg

  第一,每398天要重新验证域名

  mozila和CA/B论坛将域名验证有效期缩短到398天。为此,进行预审域名验证的客户必须每年重新验证域名所有权。这项新规则预计将于2021年10月1日起施行。

  其次,通配符证书不支持用于域名解析的文件身份认证方法

  基于文件的域名身份认证方法也称为文件身份认证、http身份认证。CA/B论坛改变了文件认证方式,通配符SSL证书使用文件认证进行域名认证,限制有效使用子域名。新规将于2021年12月1日起施行。邮件和DNS认证方法不受影响。

  目前业界只允许对默认域名(例如racent.com)进行域名身份认证,并适用于通配符证书(例如*racent.com)和子域名(例如support.racent.com)。也就是说,现在可以通过文件认证确认主域名,通配符域名和子域名称都不再需要验证。但是,新政生效后,要使用文件认证,必须单独认证主域名和每个子域名。邮件身份认证和DNS身份认证方法仍可用于通配符证书,并可再次用于身份认证子域名。

  解决方法

  为应对这一变化,DigiCert、Sectigo等全球主要CA机构发送了域名验证变更通知,要求将证书中断的风险降至最低,确保业务正常运行,并提前准备以下准备工作:

  定期检查域名

  每隔398天,SSL证书域名解析就会到期。对于包括OV、EV和DV在内的多年SSL证书,应通知客户在当前SSL证书过期时重新进行域名验证。否则,可以停止请求证书、更新费用和重新签名。

  将通配符证书的域名身份认证方法更改为邮件身份认证或DNS身份认证

  目前,一些SSL证书销售通道提供自动域名解析功能,如果使用文件认证方法,建议通过邮件认证或DNS认证方法进行调整。



/template/Home/Qiggg/PC/Static