一、域名验证有效期变更

Mozilla和CA/B论坛将域名验证的有效期缩短至398天。这一变更要求预先进行域名验证的客户每年重新验证域名所有权。此项新规预计于2021年10月1日开始执行。

二、通配符证书域名验证方式变更

1.文件验证方式受限

基于文件的域名验证方式（也称为文件验证、http验证）面临更改。CA/B论坛禁止通配符SSL证书使用文件验证方式进行域名验证，并且对子域名的有效使用进行限制。这一规定将于2021年12月1日开始执行，而邮件验证方式和DNS验证方式不受影响。

当前的情况是，行业内允许仅对主域名（如dogssl.com）进行域名验证即可，这种验证适用于通配符证书（如*.dogssl.com）及其下级子域名（如support.dogssl.com）。也就是说，现在用文件验证方式验证一个主域名后，其通配符域名和子域名无需再做验证。然而，新政生效后，如果继续使用文件验证方式，主域名和每个子域名都需要单独进行验证。不过，邮件验证和DNS验证方式仍然可用于通配符证书并且能再次用于验证其子域名。

2.解决方案

DigiCert、Sectigo等全球主流的CA机构均已发出域名验证变更通知。为应对这些变化，最大程度降低证书中断风险，保障业务正常运行，温馨提示应提前做好以下准备工作：

（1）定期做域名验证

每398天SSL证书域名验证就会过期。对于多年期的SSL证书（包括OV、EV、和DV），在当前SSL证书到期时，需要提醒客户重新做域名验证，否则会中断证书申请、续费、重签等操作。

（2）更改通配符证书的域名验证方法

目前，有些SSL证书销售渠道会提供自动域名验证功能。如果有使用文件验证方式的，建议调整为邮件验证或DNS验证方式。

Dogssl.com拥有20年网络安全服务经验，提供构涵盖国际CA机构Sectigo、Digicert、GeoTrust、GlobalSign，以及国内CA机构CFCA、沃通、上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务，如您有SSL证书需求，欢迎联系!