最近,由于一起利用 .mobi域名的WHOIS服务器漏洞非法获取 TLS 证书的事件,Google 在 CA/Browser 论坛上提议禁止使用 域名注册的联系人电子邮件地址(WHOIS电子邮件) 来验证域名控制权。该提案建议从 2025 年 1 月 15 日起,禁止证书颁发机构 (CA) 使用 WHOIS电子邮件 来验证域名联系人,并禁止使用之前的WHOIS域名验证记录。
尽管 DigiCert 对当前提案持保留意见,认为其未充分考虑 ICANN 和 Amazon 提出的合理建议,但仍支持逐步淘汰过时的 WHOIS 协议。预计该提案将有很大可能通过。
对用户的影响
如果提案通过,从 2025 年 1 月 15 日起,用户将无法再使用基于 WHOIS 的电子邮件域名控制验证 (DCV) 方法来证明对域名的控制权。此外,CA 也不再基于之前的WHOIS验证记录来重新颁发或续订证书,用户需要采用其他 DCV 方法重新验证域名。
用户应采取的措施
如果提案通过,从 2025 年 1 月 15 日起,用户需要使用其他 DCV 方法来证明对域名的控制权。如果你希望继续使用邮件认证方式来证明对域名的控制权,你可以采用以下2种方式之一:
- 使用5个特定电子邮件地址(admin@[域名], administrator@[域名], webmaster@[域名], hostmaster@[域名], postmaster@[域名])来接收授权邮件。
- 创建一个DNS域名解析记录,记录类型为TXT,主机记录为_validation-contactemail,记录值为您的email地址,你将可以使用此email地址接收授权邮件。
参考资料:
https://knowledge.digicert.com/alerts/end-of-life-for-whois-based-email-dcv-method
文档编写日期:2024年10月28日