最近,由于一起利用 .mobi域名的WHOIS服务器漏洞非法获取 TLS 证书的事件,Google 在 CA/Browser 论坛上提议禁止使用 域名注册的联系人电子邮件地址(WHOIS电子邮件) 来验证域名控制权。2024年11月14日 CA/Browser 论坛通过投票通过了该提案。该提案要求从 2025 年 1 月 15 日起,禁止所有的公共证书颁发机构 (CA) 使用 WHOIS电子邮件 来验证域名联系人,并禁止使用之前的WHOIS域名验证记录。
对用户的影响
DigiCert将从2025年1月8日起,停止用户使用基于 WHOIS 的电子邮件域名控制验证 (DCV) 方法来证明对域名的控制权。此外,CA 也不再基于之前的WHOIS验证记录来重新颁发或续订证书,用户需要采用其他 DCV 方法重新验证域名。
用户应采取的措施
从 2025 年 1 月 8 日起,用户需要使用其他 DCV 方法来证明对域名的控制权。如果你希望继续使用邮件认证方式来证明对域名的控制权,你可以采用以下2种方式之一:
- 使用5个特定电子邮件地址(admin@[域名], administrator@[域名], webmaster@[域名], hostmaster@[域名], postmaster@[域名])来接收授权邮件。
- 创建一个DNS域名解析记录,记录类型为TXT,主机记录为_validation-contactemail,记录值为您的email地址,你将可以使用此email地址接收授权邮件。
参考资料:
https://knowledge.digicert.com/alerts/end-of-life-for-whois-based-email-dcv-method
最新修订日期:2024年12月08日