据DigiCert官网公告:从2021年10月1日起,SSL证书每398天需重新做域名验证,从同年12月1日起,通配符SSL证书将不支持文件验证域名。此次域名验证重大变更将会影响到证书申请时域名验证方式的选择和域名验证的有效期。
注意:本次策略变更是针对所有新证书的申请、续费、重签,已签发的TLS/SSL证书不受影响。
此次变更主要2点:
1、每398天需重新进行域名验证
Mozilla和CA/B论坛将域名验证有效期缩短至398天。这就要求预审域名验证的客户每年重新验证域名所有权。这一新规预计将于2021年10月1日开始执行。
2、通配符证书将不支持文件验证方式进行域名验证
基于文件的域名验证方式也叫文件验证、http验证。CA/B论坛对文件验证方式提出更改:禁止通配符SSL证书使用文件验证方式进行域名验证,并限制子域名的有效使用。新规将于2021年12月1日开始执行。邮件验证方式和DNS验证方式不受影响。
目前,行业内允许仅对主域名(如racent.com)进行域名验证即可,并适用于通配符证书(如*racent.com)和其下级子域名(如support.racent.com)。换言之,现在可以用文件验证方式验证一个主域名,其通配符域名和子域名都可以不用再做验证。但是,新政生效后,如果要用文件验证方式,则主域名和每个子域名都需要进行单独验证。邮件验证和DNS验证方式仍然可以用于通配符证书并且可以再次用于验证其子域名。
为了应对这些变化,最大程度地降低证书中断的风险,保障您的业务正常运行,DigiCert已发出域名验证变更通知。
DigiCert的解决方案:
1、多年购买计划;DigiCert支持购买长达6年的SSL证书计划,在此期间,您可以根据需求重新发行和更新证书即可。但是,随着验证的更改,即使使用预先验证的证书客户也仍然需要每年提交一次新的域名验证请求。
2、DigiCert®Automation Manager自动化管理证书;它是一个容器化的企业解决方案,用于防火墙后的安全,大量TLS证书自动化,可以指导管理员选择适合他们需要的自动化解决方案。
