2021年8月17日星期二

digicert 2021 年的域验证政策变化 警报 ID : AL290421223713 最后修改 : 07/01/2021

2021 年的域验证政策变化

描述

两项域验证策略更改预计将在 2021 年底之前生效,这可能会影响您针对证书请求验证域的方式。这些政策更改适用于所有新的证书申请、续订、重新颁发和预先验证的域。这些更改不会影响已颁发的 TLS/SSL 证书。

  •  每 397 天需要重新验证一次
    DigiCert 将在2021 年 9 月 27 日至 30 日之间实施更改
  • 基于文件的域验证,也称为文件身份验证、http 令牌或 http 身份验证,将不允许用于通配符证书,当用于非通配符证书时,每个单独的 SAN/完全限定域名都需要域验证( FQDN)。
    DigiCert 将于 2021 年 11 月 15 日实施更改。
  • 这些策略更改会影响所有公共 TLS/SSL 证书。

 

解决方案

不需要立即采取行动。但是,请准备:

  • 更频繁地执行域验证
    如果域未重新验证,域验证将每 397 天到期并中断证书请求、续订和重新颁发。
  • 在 2021 年 9 月 27 日之前检查您预先验证的域
    现有域验证到期日期将在2021 年 9 月 27 日至 30 日之间进行调整 我们会在日期临近时通知您并制定行动计划。 
  • 如果您使用基于文件的验证,请更改通配符证书/域的域验证方法 对于喜欢静态值和基于电子邮件的域验证的人,我们建议使用电子邮件到 DNS TXT 联系DCV 方法。 
  • 如果您想继续对非通配符证书使用基于文件的验证,更改流程和/或系统以单独验证每个 SAN/FQDN (包括某些证书中包含的"免费 www."SAN)或者,更改为DNS 或电子邮件验证方法以验证基本域 (example.com) 或整个域空间。

 

此外,为了帮助您最大程度地减少证书生命周期中断并维护您的业务流程,我们正在研究未来的通知、增强功能和培训材料。
同时,查看当前的 域控制验证 (DCV) 方法以查看您还有哪些其他域验证选项。

 

397 天域验证重用更改

Mozilla 和 CA/B 论坛正在将域验证重用期减少到 398 天。DigiCert 将实施 397 天的重复使用期,以确保绝对合规。

这将要求管理预验证域的客户大约每 13 个月重新验证一次域。

DigiCert 将在 2021 年 9 月 27 日至 30 日期间实施更改

 

额外细节:

  • CA/B 论坛投票 SC42:398 天重复使用期
  • Mozilla 根存储策略 2.7.1 包含 Mozilla 更新的域验证重用策略。见第 2.1 节,第 5.1 项。
  • EV 域验证 基本上不受影响, 因为 EV 证书上的域已经需要每 13 个月重新验证一次。复用期从13个月变为397天,刚好13个月多一点。
  • 组织名称验证不受影响,OV 证书的有效期为 825 天,EV 证书的有效期为 13 个月。

 

使用基于文件的验证更改的域控制验证 (DCV)

CA/B 论坛最近就基于文件的域验证(也称为文件身份验证、http 令牌、http 身份验证或 CA/B 论坛基线要求方法 18 (3.2.2.4.18) 和 19 (3.2. 2.4.19)。

更改将影响(从2021 年 11 月 15 日开始),以以下方式使用基于文件的 DCV 方法: 

  • 禁止使用 此方法验证通配符 证书中的域
  • 当此方法用于验证非通配符证书中的域时,需要单独对每个 FQDN/SAN进行域验证

注意: 电子邮件和基于 DNS 的 DCV 方法不受影响。

 

即将对基于文件的验证进行更改的图示

证书中的 FQDN/SAN域验证文件的位置是否允许在 2021 年 11 月 14 日或之前签发的证书?是否允许在 2021 年 11 月 15 日之后颁发的证书?
例子.com例子.com是的是的
子.example.com子.example.com是的是的
子.example.com例子.com是的
*.example.com例子.com是的
www.example.com例子.com是的
www.sub.example.com子.example.com是的


目前,对于许多 DCV 方法,CA/B 论坛基线要求考虑 FQDN(例如 subdomain2.subdomain.example.com)或通配符域(例如 *.subdomain.example.com)在其基本域(例如example.com)或其他高级域名(例如subdomain.example.com)被验证。


但是,当使用基于文件的验证时,策略更改将需要对每个 FQDN/SAN 进行单独验证,并且通配符证书将完全禁止基于文件的验证,因为通配符域名不被视为 FQDN。

请注意,此更改不适用于基于电子邮件和 DNS 的验证, 它们仍可用于通配符证书,并可在基本域级别或其他共享上级域执行以验证子域和通配符域。

政策变更预计将于202111 月 15 日生效

没有评论:

发表评论

供稿人

标签

Google (6) 船坚炮利 (5) Blogger (4) GHS (3) Salesforce (3) C.M.O. (2) GFW (2) Google Analytics (2) Google Apps (2) PR (2) Twitter (2) baidu (2) dns.com.cn (2) keso (2) kylin (2) python (2) 中国 (2) 新互 (2) .ru (1) 10-08-23 (1) 1960 (1) 2008 (1) 2012 (1) 3g (1) 404 (1) 502 (1) 71-81 (1) AFE (1) Adobe开源 (1) Banned (1) Basic English (1) Blogspot (1) CPI (1) CUIL (1) Character Entities (1) Checkout (1) Cloud Computing (1) D-Dos (1) Delphic oracle (1) Domain (1) Essential English (1) FRID (1) FTP (1) FeedBuner (1) Flash (1) Flex+Firefox (1) Flickr (1) Foolish Games (1) Force.com (1) GMAIL (1) Gmail Offline (1) Googe Site (1) Google Docs (1) Google Spreadsheet (1) IBM (1) IE+SilverLight (1) IPV9 (1) Jewel (1) Open Social (1) OpenID (1) PageRank (1) PigeonRank (1) QQ,IP隐私 (1) Redirect (1) Rich Memdia (1) SFTP (1) Secularism (1) Simplified Technical English (1) Sitemap (1) Spam (1) Special English (1) TV (1) Tracker (1) UI (1) aa (1) addOrganic (1) beyond (1) blog (1) blogbus (1) com (1) cyberWar (1) daas (1) dnspod (1) draft (1) earthquake (1) ebank (1) event track (1) fisher (1) git (1) google_prc (1) huang qi (1) iamfisher (1) iamfisher.net (1) ipai (1) linkedin (1) mayumusic (1) netsh (1) ning (1) paas (1) pk (1) planet-lab (1) ppc (1) qunar (1) roscosmos (1) saas (1) sars (1) serp (1) sohu (1) urchin (1) wealink (1) web analytics (1) wiki (1) zh_CN (1) 一本万利 (1) 三峡 (1) 上海人 (1) 下雨 (1) 世俗 (1) 世纪墙 (1) 中化网 (1) 中印 (1) 中欧 (1) 临终一课 (1) 乡下人 (1) 云之南 (1) 云计算 (1) 井真成 (1) 亨廷顿 (1) 人寿 (1) 人际 (1) 代价 (1) 传统 (1) 低腰裤 (1) 佛教 (1) 依赖症 (1) 偷懒 (1) 傲慢 (1) 儿时梦想 (1) 先进 (1) 公共品 (1) 六六 (1) 养廉 (1) 再融资 (1) 凤凰卫视 (1) 出版 (1) 刘仰 (1) 创新 (1) 删IE8 (1) 判例法 (1) 制高点 (1) 剩者为王 (1) 剽窃 (1) 北极 (1) 博客 (1) 危害健康 (1) 厚黑 (1) 原创 (1) 去哪儿 (1) 双面胶 (1) 发展 (1) 变暖 (1) 司法解释 (1) 合法外衣 (1) 吉尼斯 (1) 品牌 (1) 唐老鸭 (1) 嘿嘿 (1) 噩梦 (1) 国务院 (1) 土鳖 (1) 坚船利炮 (1) 域名被锁定 (1) 域名诉讼 (1) 基因 (1) 墓志铭 (1) 壳牌 (1) 奥运 (1) 妓女 (1) 威权 (1) 媒体 (1) 孙德良 (1) 孩子 (1) 定罪 (1) 宝洁 (1) 宣传 (1) 家庭税负不高 (1) 寻找好友 (1) 崩溃 (1) 巫咸 (1) 年代 (1) 开封犹太人 (1) 开放 (1) 张掖 (1) 弥勒 (1) 强烈 (1) 彩信 (1) 征召 (1) 很开放 (1) 很被守法 (1) 徐荣祥 (1) 微博 (1) 微软 (1) 微软收购雅虎 (1) 急死你 (1) 愚蠢 (1) 愤怒 (1) 愿望 (1) 我很抱歉 (1) 手机 (1) 执着 (1) 改版 (1) 改进 (1) 散乱 (1) 敦煌 (1) 文化入侵 (1) 文核 (1) 新加坡 (1) 方舟子 (1) 无标题 (1) 无语 (1) 日历 (1) 早报 (1) 暴力拆迁 (1) 最在邊外 (1) 月映天江 (1) 有趣 (1) 有限公司 (1) 朝贡 (1) 杀伐决断 (1) 标题党 (1) 梁山强盗 (1) 武威 (1) 比基尼 (1) 民族主义 (1) 水师 (1) 江姐 (1) 沉迷 (1) 泡沫 (1) 洁空 (1) 洋品牌 (1) 海归 (1) 海禁 (1) 海航 (1) 消费升级 (1) 温室 (1) 滕鸡 (1) 点出统计 (1) (1) 物权 (1) 犹豫 (1) 狗屁CPI指数 (1) 独角兽 (1) 玄幻 (1) 王彩玲 (1) 用Firefox (1) 电脑 (1) (1) 瘦身 (1) 百年积弱 (1) 知识产权 (1) 码字 (1) 砖窑 (1) 破坏力 (1) 硬道理 (1) 礼仪 (1) 祝福北京奥运 (1) 禽流感 (1) 科学网 (1) 稳定压倒一切 (1) 空降 (1) 穿越 (1) 童奴 (1) 第二人生 (1) 繁荣 (1) 红土高原 (1) 织壮锦 (1) 终身教授 (1) 统一 (1) 绿色 (1) 缓刑 (1) 缘起 (1) 缙云山 (1) 缺乏自信 (1) 网摘 (1) 网易新闻评论 (1) 网瘾症 (1) 网盛科技 (1) 网站分析在中国 (1) 网络游戏 (1) 网络犯罪 (1) 网鸟 (1) 美孚 (1) 老外 (1) 职业打假 (1) 联手制造 (1) 自卑感 (1) 自定义域名绑定 (1) 船坚器利 (1) 芙蓉姐姐 (1) 苏北人 (1) 草稿帖 (1) 草药 (1) 蒋雯丽 (1) 薄纳厚赠 (1) 虚拟财产 (1) 被误解 (1) 装傻 (1) 西南 (1) 论坛 (1) 谶语 (1) 货币 (1) 贴标签 (1) 赤蛇 (1) 转基因 (1) 软件C2C (1) 迁海令 (1) 过度依赖 (1) 进口关税 (1) 迪斯尼 (1) 道德传统 (1) 道德缺陷 (1) 道长 (1) 邓公 (1) 酒泉 (1) 金融时报 (1) 长短 (1) 闲逛 (1) 闹晕 (1) 闹晕经济 (1) 阿里软件 (1) 难过 (1) 青蛇 (1) 非洲 (1) 风力 (1) 食品 (1) 首席营销官 (1) 高鑫养廉 (1) 鸦片战争史 (1) 黄芪 (1) 龙象 (1)