Изменения, связанные с проверкой доменов для выпуска SSL-сертификатов в 2021 году

CA/B Forum, регулятор индустрии SSL-сертификатов, одобрил несколько изменений, связанных с политикой валидации доменов. Изменения касаются всех новых сертификатов, а также перевыпусков и продлений старых сертификатов. Уже выпущенные SSL/TLS-сертификаты продолжат функционировать (менять их не потребуется).

ПОВТОРНАЯ ВАЛИДАЦИЯ ДОМЕНОВ ПОТРЕБУЕТСЯ КАЖДЫЕ 398 ДНЕЙ

Начиная с 1 октября 2021 года, повторная валидация доменов (FQDN) должна будет проводиться каждые 398 дней. То же самое относится и к повторной валидации IP-адресов. Это изменение отмечено в Ballot SC42. Для проверки по организации (OV) остается все тот же 825-дневный период повторного использования данных.

Расширенная проверка (EV) в данном случае не затрагивается, поскольку домены с EV-сертификатами и так требуют повторной валидации каждый год.

ИЗМЕНЕНА ПРОВЕРКА УПРАВЛЕНИЯ ДОМЕНОМ (DCV) С ИСПОЛЬЗОВАНИЕМ ФАЙЛОВОЙ АУТЕНТИФИКАЦИИ

CA/B Forum внес некоторые изменения в файловую аутентификацию доменов. Метод проверки управления доменом на базе файлов будет запрещен для wildcard-сертификатов. При этом для отдельных поддоменов такая проверка будет осуществима.
Методы проверки управления доменом на базе Email и DNS не будут затронуты.

Изменение политики CA/B Forum требует проведения отдельной проверки на базе файлов для каждого FQDN. При этом валидация на базе Email и DNS будет все так же работать для wildcard-сертификатов. Ее можно будет применить для валидации всех поддоменов одного проверенного домена. Данное изменение вступит в силу 1 декабря 2021 года.

НУЖНО ЛИ МНЕ ЧТО-ТО ДЕЛАТЬ В СВЯЗИ С ЭТИМИ ИЗМЕНЕНИЯМИ

Каких-либо срочных действий совершать не требуется.
Чтобы лучше подготовиться к данным изменениям, мы рекомендуем изменить метод валидации доменов на email или DNS для wildcard и мультидоменных сертификатов. Файловая аутентификация подойдет только для отдельных доменов (она перестанет охватывать все пространство доменов внутри проверенного домена).