GlobalSign近日发布重要通知,针对域名验证策略的两项更改(如下文)即将生效,这可能影响您在颁发公开信任的TLS证书时验证域名的方式。这些政策变更适用于所有新证书的申请、续订、重新颁发和预先验证的域名。这些更改不会对已颁发的TLS/SSL证书产生影响。
一、域名重新验证将需要每397天一次,而不是每825天一次
GlobalSign将于2021年9月27日实施此项变更。
在过去几年中,CA/B论坛和各种Root程序降低了公共信任证书的最大有效性。最近一次减少发生在去年,当时TLS/SSL证书的有效期仅限于397天。此变化更有利于安全性,信息越远离验证日期,其可靠性就越低。此外,更长的证书寿命会限制加密灵活性,使更改和更新更难推出。它还鼓励自动化证书生命周期管理,从而消除过去与较短的有效性和更多的证书轮换相关的负担。
9月份开始,域名验证持续的最长时间将缩短至397天,与SSL证书的最大有效期保持一致。
二、对于通过HTTP方法验证的域名,将禁止颁发通配符和SANS
从11月开始,通配符证书将禁止发布通配符SAN或使用HTTP域名验证的方法验证子域名。此外,当DV方法用于非通配符证书时,需要对每个SAN/完全限定域名(FQDN)进行域名验证。
GlobalSign将于2021年11月29日实施本项变更。
