CA/B Forum, регулятор индустрии SSL-сертификатов, одобрил несколько изменений, связанных с политикой валидации доменов. Изменения касаются всех новых сертификатов, а также перевыпусков и продлений старых сертификатов. Уже выпущенные SSL/TLS-сертификаты продолжат функционировать (менять их не потребуется).

Повторная валидация доменов потребуется каждые 398 дней

Начиная с 1 октября 2021 года, повторная валидация доменов (FQDN) должна будет проводиться каждые 398 дней. То же самое относится и к повторной валидации IP-адресов. Это изменение отмечено в Ballot SC42. Для проверки по организации (OV) остается все тот же 825-дневный период повторного использования данных.

Расширенная проверка (EV) в данном случае не затрагивается, поскольку домены с EV-сертификатами и так требуют повторной валидации каждый год.

Изменена проверка управления доменом (DCV) с использованием файловой аутентификации

CA/B Forum внес некоторые изменения в файловую аутентификацию доменов. Метод проверки управления доменом на базе файлов будет запрещен для wildcard-сертификатов. При этом для отдельных поддоменов такая проверка будет осуществима.

Методы проверки управления доменом на базе Email и DNS не будут затронуты.

Изменение политики CA/B Forum требует проведения отдельной проверки на базе файлов для каждого FQDN. При этом валидация на базе Email и DNS будет все так же работать для wildcard-сертификатов. Ее можно будет применить для валидации всех поддоменов одного проверенного домена. Данное изменение вступит в силу 1 декабря 2021 года.

Нужно ли мне что-то делать в связи с этими изменениями

Каких-либо срочных действий совершать не требуется.

Чтобы лучше подготовиться к данным изменениям, мы рекомендуем изменить метод валидации доменов на email или DNS для wildcard и мультидоменных сертификатов. Файловая аутентификация подойдет только для отдельных доменов (она перестанет охватывать все пространство доменов внутри проверенного домена).

Подписывайтесь на наши обновления, чтобы быть в курсе свежих событий из мира SSL!