SSL信息
这项调整是基于CAB论坛169号、181号决议做出的......
2017年3月16日起,赛门铁克正式更改了其证书验证程序。赛门铁克新的证书验证程序主要影响的是SSL的DV类证书,但也会对OV和EV类证书产生少量影响。做出这些改变,是为了遵守即将生效的CAB论坛169号、181号决议。
本文主要是为了保证所有SSL分销商/次级分销商和企业级客户——即通过任意一家SSL分销商(这些分销商均通过集成或插件方式连接或使用了Symantec的API)使用或订购Symantec、Thawte、GeoTrust和RapidSSL证书的客户——都完全知晓这项连夜做出的变更。
那些从SSL分销商网站/控制面板直接购买和使用证书的客户可能已经注意到一些细微的变化。如果你属于这类客户,那么新的Symantec证书验证程序对你不会有太大影响。不过,如果你像我一样真的对SSL和Web PKI感兴趣的话,我们鼓励你继续阅读下去。
本文包含两类不同的变更:
1、域验证(DV)变更
第一类变更是关于DV证书验证的。确切地说,对于基于文件的和DNS验证的方法做出了一些小的改进,将于3月15日夜间生效。
大部分这类变更是对于这些方法中使用的验证令牌和随机字符串的安全性方面的改进。如果你的赛门铁克组合证书订单直接或间接来源于赛门铁克的API,那么你需要确保你的部署也一并进行更新,以适应这次的变更。如果你是通过邮件确认自己证书的终端用户,你会发现没有什么变化。然而,如果你通过文件或基于DNS的方法确认证书,那么你可能会注意到,这一过程有一些变化。
如果你直接通过赛门铁克的API或通过你的分销商的API订购的话,你还需要确保系统与赛门铁克的详细公告相适应,或者与你的分销商详细沟通,否则你将无法收到证书。在此我们无法详述,但我们会提到两个较大的变更,这样你就可以对事情有个大概的了解。
- 对于DNS认证,记录类型从CNAME变为TXT记录。输入到记录中的唯一的验证码长度会加倍,达到64个字符,而得到这个新的验证码的方法变得更加安全了。
- 文件认证从.html变为.txt文件了。与过去将文件放在FQDN的根目录下不同,现在文件必须放在“/.well-known/pki-validation/”目录下,这是新的标准化方法,使得域的所有者对控制证书验证的路径拥有更多的控制权。
2、已终止的验证方法
第二类变更已在3月1日生效,导致两个不太常见的验证方法不再被OV和EV证书的域控制验证程序所接受。我们预计,这只会影响极少数用户,因为这些方法极少使用。3月1日起,已经无法在任何OV和EV类SSL证书上使用“专业意见书”(POL)或“实际示范”进行域验证进程了。
然而,POL仍可以用于满足OV/EV进程的其他需求。但其实影响不大,因为这些方法极少使用,且CAB论坛最终认定这些方法对于改进域验证方法并不足够可靠。即使你对这些方法不熟悉也不必担心,因为这些变化对你没有影响。
为何要做出改变?
证书颁发机构和浏览器论坛(CA/B Forum)是为证书颁发指定标准做法的机构,该论坛通过了169号和181号投票案,对用于确认域名控制权的验证方法进行了更改。
所有证书颁发机构(CA)必须采用这些新的做法,以确保合规。这将会改善证书颁发过程的安全性和可靠性,最终将有利于整个SSL生态系统,并加强CA颁发证书的可靠性。
就绝大多数情况而言,这些变更对验证方法做了小的改进,并提升了验证令牌的随机性。所有API用户或任何使用自动方法订购/颁发证书的机构,都需要确保做了专门的变更,并需要升级他们的系统以适应这些新变化。大部分终端用户应该不会受到这些变化的影响,因为他们习惯使用的所有过程和方法都只会有很小的变化。
这些变化虽小,却意义深远,使CAB论坛一直进行的对证书颁发的改进和完善工作变得更加正规。尽管本文只面向Symantec/Thawte/GeoTrust/RapidSSL,但最终所有CA都会被要求做出类似的改变,以满足CAB论坛的新准则。
如果你通过分销商/次级分销商的API订购CA的API,或者觉得上面谈到的这些变化影响了你目前的业务过程,请立即与你的SSL供应商取得联系。如果你销售Symantec的GeoTrust、Thawte或RapidSSL证书,那么这些变化就是强制性的了。
稿源: the ssl store