Những thay đổi về chính sách xác thực của SSL trong thời gian tới
Hai thay đổi về chính sách xác thực miền dự kiến sẽ có hiệu lực trước cuối năm 2021 có thể ảnh hưởng đến cách bạn xác thực miền của mình cho các yêu cầu chứng chỉ. Những thay đổi về chính sách này áp dụng cho tất cả các yêu cầu chứng chỉ mới, gia hạn, phát hành lại và các miền đã được xác thực trước. Những thay đổi này sẽ không ảnh hưởng đến chứng chỉ TLS / SSL đã được cấp.
- Việc xác thực lại miền sẽ được yêu cầu sau mỗi 397 ngày.
DigiCert sẽ thực hiện các thay đổi trong khoảng thời gian từ ngày 27 đến ngày 30 tháng 9 năm 2021 . - Xác thực tên miền dựa trên tệp , còn được gọi là xác thực tệp, mã thông báo http hoặc http auth, sẽ không được phép đối với chứng chỉ ký tự đại diện (Wildcard) và khi được sử dụng cho chứng chỉ không phải ký tự đại diện, xác thực miền sẽ được yêu cầu đối với mỗi SAN cá nhân / tên miền đủ điều kiện ( FQDN).
DigiCert sẽ thực hiện các thay đổi vào ngày 16 tháng 11 năm 2021. - Những thay đổi về chính sách này ảnh hưởng đến tất cả các chứng chỉ TLS / SSL công khai.
1. Giải pháp thay đổi về chính sách xác thực của SSL
Không có hành động ngay lập tức được yêu cầu. Tuy nhiên, hãy chuẩn bị để:
- Thực hiện xác thực miền thường xuyên hơn .
Xác thực miền sẽ hết hạn sau mỗi 397 ngày và làm gián đoạn các yêu cầu, gia hạn và phát hành lại chứng chỉ nếu miền không được xác thực lại. - Xem lại các miền đã được xác thực trước của bạn trước ngày 27 tháng 9 năm 2021 .
Ngày hết hạn xác thực miền hiện tại sẽ được điều chỉnh trong khoảng thời gian từ ngày 27 đến ngày 30 tháng 9 năm 2021 . Chúng tôi sẽ thông báo cho bạn khi đến ngày có kế hoạch hành động. - Thay đổi phương pháp xác thực miền của bạn cho các chứng chỉ/miền ký tự đại diện nếu bạn sử dụng xác thực file base. Chúng tôi đề xuất phương pháp Email tới DNS TXT liên hệ DCV cho những người thích giá trị tĩnh và xác thực miền dựa trên e-mail.
- Thực hiện các thay đổi về quy trình và / hoặc hệ thống để xác thực từng SAN / FQDN riêng lẻ (bao gồm SAN “miễn phí www.” Được bao gồm trong một số chứng chỉ) nếu bạn muốn tiếp tục sử dụng xác thực dựa trên tệp cho các chứng chỉ không phải ký tự đại diện . Ngoài ra, hãy thay đổi phương pháp xác thực DNS hoặc email để xác thực miền cơ sở (example.com) hoặc toàn bộ không gian miền.
2. Thay đổi sử dụng lại xác thực miền trong 397 ngày
Mozilla và Diễn đàn CA / B đang giảm thời gian sử dụng lại xác thực miền xuống còn 398 ngày. DigiCert sẽ thực hiện khoảng thời gian tái sử dụng 397 ngày để đảm bảo tuân thủ tuyệt đối.
Điều này sẽ yêu cầu khách hàng quản lý các miền đã được xác thực trước xác thực lại các miền của họ khoảng 13 tháng một lần.
DigiCert sẽ thực hiện các thay đổi trong khoảng thời gian từ ngày 27 đến ngày 30 tháng 9 năm 2021
Chi tiết bổ sung:
- Việc xác thực miền EV hầu như không bị ảnh hưởng vì các miền trên chứng chỉ EV đã yêu cầu xác thực lại 13 tháng một lần. Thời gian sử dụng lại thay đổi từ 13 tháng thành 397 ngày, tức là chỉ hơn 13 tháng.
- Việc xác thực tên tổ chức không bị ảnh hưởng và vẫn có hiệu lực trong 825 ngày đối với chứng chỉ OV và 13 tháng đối với chứng chỉ EV.
3. Thay đổi xác thực dựa trên Filebase
Xác thực kiểm soát miền (DCV) bằng cách sử dụng các thay đổi xác thực dựa trên filebase.
Diễn đàn CA / B gần đây đã bỏ phiếu về một lá phiếu liên quan đến xác thực tên miền dựa trên tệp , còn được gọi là xác thực tệp, mã thông báo http, http auth hoặc CA / B Các yêu cầu cơ bản của diễn đàn 18 (3.2.2.4.18) và 19 (3.2. 2.4.19).
Thay đổi sẽ ảnh hưởng (bắt đầu từ ngày 16 tháng 11 năm 2021 ), việc sử dụng phương thức DCV dựa trên tệp theo những cách sau:
- Không cho phép phương pháp này để xác thực miền trong chứng chỉ ký tự đại diện .
- Yêu cầu xác thực miền cho từng FQDN / SAN riêng lẻ khi phương pháp này được sử dụng để xác thực miền trong chứng chỉ không phải ký tự đại diện .
Lưu ý: Các phương pháp DCV dựa trên email và DNS không bị ảnh hưởng.
Hình minh họa về những thay đổi sắp tới đối với xác thực dựa trên file base
FQDN / SAN trong chứng chỉ | Vị trí của tệp xác thực tên miền | Được phép cấp chứng chỉ trước ngày 15 tháng 11 năm 2021? | Được phép cấp chứng chỉ sau ngày 16 tháng 11 năm 2021? |
example.com | example.com | đúng | đúng |
sub.example.com | sub.example.com | đúng | đúng |
sub.example.com | example.com | đúng | Không |
* .example.com | example.com | đúng | Không |
www.example.com | example.com | đúng | Không |
www.sub.example.com | sub.example.com | đúng | Không |
Hiện tại, đối với nhiều phương pháp DCV, Yêu cầu cơ sở của diễn đàn CA / B coi FQDN (ví dụ: subdomain2.subdomain.example.com) hoặc miền ký tự đại diện (ví dụ: * .subdomain.example.com) sẽ được xác thực sau khi miền cơ sở của nó ( ví dụ: example.com) hoặc tên miền cao cấp khác (ví dụ: subdomain.example.com) được xác thực.
Tuy nhiên, thay đổi chính sách sẽ yêu cầu xác thực riêng cho từng FQDN / SAN khi xác thực dựa trên tệp được sử dụng và xác thực dựa trên tệp sẽ hoàn toàn không được phép đối với chứng chỉ ký tự đại diện vì tên miền ký tự đại diện không được coi là FQDN.
Lưu ý rằng thay đổi này không áp dụng cho xác thực dựa trên Email và DNS, vẫn có thể được sử dụng cho chứng chỉ ký tự đại diện và có thể được thực hiện ở cấp miền cơ sở hoặc miền cấp cao được chia sẻ khác để xác thực miền phụ và miền ký tự đại diện.
Thay đổi chính sách dự kiến sẽ có hiệu lực vào ngày 16 tháng 11 năm 2021 .
LƯU Ý: Bài viết này trước đây đã nói rằng các thay đổi sẽ có hiệu lực vào ngày 15 tháng 11 năm 2021. Để đảm bảo quá trình triển khai suôn sẻ và xem xét mã bổ sung, các thay đổi đã được đẩy sau 24 giờ.
Ngoài ra các bạn có thể xem thêm các bài viết khác của chúng tôi tại đây.
P.A Việt Nam giúp các bạn lựa chon chứng chỉ SSL phù hợp với nhu cầu
https://www.pavietnam.vn/vn/tu-van-ssl.html
Tham khảo chứng chỉ số SSL của các hãng bảo mật nổi tiếng
Sectigo – Comodo
Geotrust
Digicert
Tham khảo các ưu đãi: https://www.pavietnam.vn/vn/tin-khuyen-mai/