Změny v ověřování domén pro vydávání SSL certifikátů v roce 2021

Konsorcium CA/B Forum, regulátor odvětví SSL certifikátů, schválilo několik změn souvisejících s politikou ověřování domén. Změny se týkají všech nových certifikátů i opakovaných vydání a obnovení starých certifikátů. Již vydané certifikáty SSL/TLS budou fungovat i nadále (není třeba je měnit).

Domény bude třeba znovu validovat každých 398 dní.

Od 1. října 2021 bude nutné domény (FQDN) znovu ověřovat každých 398 dní. Totéž platí pro revalidaci IP adres. Tato změna je uvedena v hlasovacím lístku SC42. Pro ověření organizace (OV) zůstává zachována stejná lhůta 825 dnů pro opakované použití údajů. 

Rozšířeného ověřování (EV) se tento případ netýká, protože domény s certifikáty EV již každoroční opětovné ověření vyžadují.

Ověřování kontroly domény (DCV) pomocí ověřování souborů se změnilo.

CA / B Forum provedlo některé změny v ověřování domén založeném na souborech. Metoda ověřování kontroly domény na základě souborů bude pro certifikáty se zástupnými znaky zakázána. Současně je taková validace možná i pro jednotlivé subdomény.

Metody ověřování domény založené na e-mailu a DNS tím nebudou ovlivněny.

Změny zásad CA / B Forum vyžadují samostatné ověřování na základě souborů pro každý FQDN. Zároveň bude pro certifikáty se zástupnými znaky stále fungovat ověřování na základě e-mailu a DNS. Lze ho použít k ověření všech subdomén jedné ověřené domény. Tato změna vstoupí v platnost 1. prosince 2021.

Musím něco udělat?

Není třeba přijímat žádná urgentní opatření.

Chcete-li se na tyto změny lépe připravit, doporučujeme změnit způsob ověřování domény pro certifikáty se zástupnými znaky a certifikáty s více doménami na způsob ověřování na základě e-mailu nebo DNS. Ověřování souborů je vhodné pouze pro jednotlivé domény (nebude již pokrývat celý doménový prostor v rámci ověřené domény).

Přihlaste se k odběru našich aktualizací a získejte přehled o nejnovějších událostech ze světa SSL!