尊敬的GlobalSign客户/合作伙伴,
在2021年下半年,域名验证策略的两项更改(如下文)即将生效,这可能影响您在颁发公开信任的TLS证书时验证域名的方式。这些政策变更适用于所有新证书的申请、续订、重新颁发和预先验证的域名。这些更改不会对已颁发的TLS/SSL证书产生影响。
一、域名重新验证将需要每397天一次,而不是每825天一次
在过去几年中,CA/B论坛和各种Root程序降低了公共信任证书的最大有效性。最近一次减少发生在去年,当时TLS证书的有效期仅限于397天。此变化更有利于安全性,信息越远离验证日期,其可靠性就越低。此外,更长的证书寿命会限制加密灵活性,使更改和更新更难推出。它还鼓励自动化证书生命周期管理,从而消除过去与较短的有效性和更多的证书轮换相关的负担。
最近对最大有效性的降低只会缩短证书本身的寿命,CA和客户仍被允许重复使用验证信息825天。9月份,域名验证持续的最长时间将减少到仅397天,与证书的最大有效期保持一致。
GlobalSign将于 2021年9月27日实施变更。
需要做什么:
Managed SSL (MSSL):
· 更频繁地执行域名验证
域名验证将每397天过期一次,如果域名未重新验证,则会中断证书请求、续订和重新颁发,因此请检查跟踪证书的过期日期并提前续订。
· 立即检查您的MSSL预验证域名
在(2021年9月30日前397天)之前验证的任何域名的到期日期都已设置为9月30日,因此您应该在MSSL帐户中跟踪该日期,并确保提前续订。
· 销售及合作伙伴
从9月27日开始,作为订单履行的一部分,您需要重新验证397天前验证过的域名。任何在此日期之前下单但未颁发的订单都需要根据新规则对其域名进行验证。
二、对于通过HTTP方法验证的域名,将禁止颁发通配符和SANS
从11月开始,通配符证书将禁止发布通配符SAN或使用HTTP域名验证的方法验证子域名。此外,当DV方法用于非通配符证书时,需要对每个SAN/完全限定域名(FQDN)进行域名验证。
GlobalSign将于2021年11月29日实施变更。
需要做什么:
ManagedSSL (MSSL):
· 在您的MSSL帐户中,将看到一个指示,哪些域名使用了HTTP方法,而这些域名将不再用于发布通配符或子域名。在准备更改时,我们建议采取以下措施之一:
· 使用HTTP以外的方法重新验证域名。
· 如果继续使用HTTP方法,您现在必须验证每个单独的子域名。
注意:您不能继续使用此方法颁发通配符证书。
销售及合作伙伴:
· 一旦11月发布,将不再使用以前通过HTTP验证的域名作为通配符或子域名。下订单后,您可以访问订单中提供的域名验证链接,了解有关域名验证的详细信息以及如何采取适用的操作来验证域名。
如果您有任何疑问或疑虑,请随时与销售联系。
GlobalSign China Co., Ltd
环玺信息科技(上海)有限公司
2021年8月5日 星期四