行业新闻与博客

基于文件的通配符验证在 11 月之后消失

2021年09月07日|亚洲注册

HTTP/HTTPS 域控制验证是您验证通配符域的首选方法吗？从 11 月开始，您需要对通配符 SSL 证书使用 DNS 或电子邮件验证

如果您关注 CA/Browser 论坛（CA/B 论坛），您可能至少听说过今年发生的一些变化。（如果你还没有，那可能是因为你的生活比我们多。但别担心，我们即将为你提供关于你需要了解的最大变化之一的内幕信息。）

Ballot SC 45，也称为通配符域验证投票，是来自 CA/B 论坛的最新域控制验证 (DCV) 更改。它更改了有关 CA 在为您的站点颁发通配符 SSL 证书时如何验证您的通配符域和子域的要求。从 11 月开始，您将无法对通配符证书使用基于文件的身份验证。相反，您需要使用 DNS 或基于电子邮件的身份验证。

之所以创建此更改，是因为有人担心基于主机的控件验证不足以证明某人对域的整个命名空间具有控制权。它得到了 CA/B 论坛成员的一致支持，因为它提高了子域的安全性。

但是对于通配符和多域通配符证书用户来说，这种变化究竟意味着什么呢？所有这些对于在不使用被认为是首选方法的情况下验证域意味着什么？

让我们来分析一下。

首先，快速复习域控制验证方法

每当您请求数字证书以保护特定网站域时，您都需要证明您确实控制了该域。域控制验证 (DCV) 是证书请求和颁发过程的重要组成部分。传统上，您可以选择三种方法来完成此任务。以下是三种类型的快速概览（排名不分先后）：

基于电子邮件的验证— 这种域验证方法是最简单的。它涉及您接收发送到您域的 WHOIS 记录（例如 admin@yourdomain.com）中列出的帐户的电子邮件并对其采取行动。
基于文件的验证（HTTP/HTTPS 验证） — 这种域验证方法要求您将文本文件上传到域 Web 服务器的特定目录。该文件必须包含 CA 告诉您包含的特定信息，以证明您控制了希望通配符或非通配符 SSL 证书涵盖的域。
基于 DNS 的验证（CNAME 验证） ——此方法涉及申请人在其域名系统 (DNS) 中创建唯一的 CNAME 记录以证明域控制。例如，Sectigo 喜欢要求他们的证书请求者让他们的 CNAME 记录指向 Sectigo 站点。

CA/B 论坛投票 SC 45 更改了通配符验证规则

显示 SAN 域的网站 SSL/TLS 证书的屏幕截图 — 单个 SAN SSL/TLS 证书涵盖的 SAN 域的屏幕截图示例。

CA/B 论坛投票 SC45 于 2021 年 12 月 1 日生效，指定通配符域不再允许基于文件的域验证证书。这里的问题是它不被认为是一种足够全面的方法，因为这种验证方法只提供对主机和服务的控制，而不是整个域命名空间。投票得到了广泛支持，并获得了 22 个证书颁发机构和 5 个证书消费者团体的一致通过。

比如说，您控制着单个 FQDN trekkie4evah.com。它不会自动证明您还控制域命名空间的其他区域（例如子域email.trekkie4evah.com或login.email.trekkie4evah.com）。恶意者可以验证他们用于网络钓鱼活动和其他网络攻击的域。

那么，如果您对非通配符域使用基于文件的验证，这意味着什么？您需要验证要单独涵盖的每个 FQDN 或主题备用名称 (SAN) 域。换句话说，使用基于文件的方法来验证 domain.com 将不再验证同一根上的子域（*.domain.com、sub.domain.com 等）。

Ballot SC45 适用于下表列出的 CA/B 论坛基线要求的域控制验证部分：

基线要求部分	本节内容摘要说明	基于投票 SC 45 的变化
3.2.2.4.6 — 同意更改网站	基线要求的这一部分讨论重用来自 HTTP/HTTPS 方法的过去验证的信息来确认域控制。	由于 SC 42 已通过，因此本节未做任何更改，因为它已阻止在 2021 年 6 月 30 日之后重复使用过去的验证或新证书。
3.2.2.4.18 — 同意更改网站 v2	本节指的是 CA 必须通过基于文件的域验证接收的 HTTTP 状态代码响应，该验证涉及验证指定文件中的请求令牌或随机值。	从 2021 年 12 月 1 日开始，CA 需要在为其颁发证书之前使用单独的 DCV 方法单独验证“以已验证 FQDN 的所有标签结尾的其他 FQDN”。在生效日期或之后无法使用此方法验证通配符域名。
3.2.2.4.19 — 同意更改网站 – ACME	基线要求的这一部分概述了使用 RFC 8555 第 8.3 节中概述的 ACME HTTP 质询方法的域控制验证。	我们在上面针对基线要求 3.2.2.4.18 概述的相同更改在此处适用于 BR 3.2.2.4.19。

（注：投票基于 1.7.4 版本，BR 文档现在最高版本为 1.7.9）。

为什么消除通配符域的 HTTP 验证是必要的

所有这些可能会让您怀疑是否有必要摆脱这种域验证方法。根据 CA/B 论坛关于 Ballot SC45 的 GitHub 讨论，这里的目标是明确使用 HTTP/HTTPS 方法验证单个域演示对单个 FQDN 的控制。这种验证方法不能证明 FQDN 的整个命名空间作为一个整体（即，存在于该命名空间中的所有域和子域）的控制权。

可能有人可以控制 domain.com 的托管位置，但不是托管任何子域的服务器的授权管理员。然而，这似乎更像是一个理论上的问题，而不是一个普遍存在的现实问题。

DigiCert 和 Sectigo 将于 2021 年 11 月 15 日提前推出其 DCV 更改

尽管投票应该在 2021 年 12 月 1 日之前生效，但两个领先的认证机构（DigiCert 和 Sectigo）分别宣布，他们将分别提前几周实施验证更改。为什么？确保一切都按应有的方式运行，并且在最后一刻不会出现任何不可预见的问题。

DigiCert 和 Sectigo 的 DCV 更改将于 2021 年 11 月 15 日星期一生效。这意味着在 11 月 14 日之前颁发的任何证书仍然可以像 DCV 方法一样正常工作。但是，从 11 月 15 日开始：

基于文件的验证将不再是通配符证书的一个选项，并且
使用基于文件的验证方法时，非通配符证书将需要对每个 FQSN/SAN 进行单独验证。

那么，对于证书颁发者决定在 12 月 1 日截止日期之前推出这些更改的企业来说，这意味着什么？让我们根据 CA 的 11 月 15 日推出日期说明这些更改将如何影响各种 SAN/FQDN 的 DCV：

证书和域名覆盖	11 月 15 日前验证	11 月 15 日之后的验证
通配符证书 *.trekkie4evah.com	允许使用三种验证方法中的任何一种，包括基于文件的验证	需要使用基于 DNS 或基于电子邮件的域验证方法
trekkie4evah.com 和 email.trekkie4evah.com 的 SAN 证书	允许使用三种验证方法中的任何一种，包括基于文件的验证	需要对每个 SAN 域单独使用基于 DNS 或电子邮件的验证，或完整的基于文件的验证

如果我们目前正在使用基于文件的验证，我们应该怎么做？

那么，这一切的最大收获是什么？通配符证书的基于文件的域控制验证方法即将消失。因此，您需要准备好使用基于 DNS 或基于电子邮件的域验证方法。具体来说：

HTTP 验证将不再适用于通配符域和 SAN 子域。
您（或您的客户，如果您是 SSL/TLS 经销商）需要选择我们之前在验证时提到的其他两种域控制验证方法之一：
1. 单域通配符证书的通配符域，以及
2. 多域通配符证书中的通配符 SAN 域。

这对 AutoInstall SSL 中的证书自动化意味着什么？

如果您使用自动化工具怎么办？这个 CA/B 论坛的变化将如何影响事情？如果您在 cPanel 中使用 AutoInstall SSL 插件，请不要担心 - 我们将发布更新，以便插件默认对通配符证书使用 DNS 验证。请继续关注更多详情！

上一篇：你应该知道的 15 种暴力攻击预防技术 [2021年09月07日]

下一篇：了解认证标志证书 (VMC) 和 BIMI 请看这里 [2021年10月09日]

域名

邮箱

SSL 证书

ICANN 认证顶级域名注册商