Digicert：关于SSL证书域名验证（DCV）策略变更通知

近日，Digicert针对三个月前CA/B Forum发布的SSL证书域名验证的两大变更做出了以下回应：

• 从2021年9月27日起，Digicert SSL证书每397天需重新进行域名验证；
• 从2021年11月15日起，Digicert通配符SSL证书不支持文件验证域名，如对非通配符证书使用文件验证域名，每个SAN或FQDN都需要进行独立的域名验证

注：当前在使用文件验证完成DCV时，如果证书中即有顶级域名又有子域名，只需完成顶级域名即可通过全部的DCV验证。

自11月15日起，申请非通配符SSL证书时如果使用文件验证完成DCV，则顶级域名和子域名需分别完成验证。

同时Digicert指出，本次SSL证书策略变更适用于新申请、续费、重签和已通过DCV的所有域名。已签发的SSL证书不受影响。

SSL证书域名验证策略变更影响

1.   2021年9月27日起，Digicert证书系统将域名验证有效期从825天缩短为397天。

• 新规生效后，已通过DCV验证域名的有效状态，会因此发生变化。其验证状态可能从“已验证”变为“待验证“，从而导致无法即时签发与该域名相关的SSL证书。必须要重新完成域名验证，才能新签或者重签该域名相关的SSL证书。
• 已经签发的SSL证书，不会受到任何影响！

2.  2021年11月15日开始，Digicert通配符证书将不再支持使用文件验证的方式完成DCV，在非通配符证书中使用这种方法进行域名验证时，每个SAN或FQDN都需要进行独立的域名验证。

（文件验证规则变更前后示例图）

解决方案

1.    定期做域名验证

已完成DCV验证的域名有效期仅为397天，也就意味着不论您是新申请、续费还是重签SSL证书，每隔397天都需重新完成域名验证，否则会影响您获取新证书。

2.   更改通配符域名验证方式为邮件验证或DNS验证

由于SSL通配符域名验证将不再支持文件验证，建议您使用邮件验证或DNS验证。

3.   验证每一个SAN/FQDN

非通配符SSL证书使用文件验证方式完成DCV验证时，需要对每一个SAN/FQDN，即对所有的顶级域名和子域名进行验证，包括所有带有“www”的SAN。