據CA/B Forum發出的通知，從2021年10月1日起，SSL證書每398天需重新做域名驗證；同年12月1日起，通配符SSL證書將不支持文件驗證域名。此次域名驗證重大變更將會影響到證書申請時域名驗證方式的選擇和域名驗證的有效期。注意：本次策略變更是針對所有新證書的申請、續費、重簽，已簽發的TLS/SSL證書不受影響。       

SSL證書域名驗證的兩大變更：

一、每398天需重新進行域名驗證

Mozilla和CA/B論壇將域名驗證有效期縮短至398天。這就要求預審域名驗證的客戶每年重新驗證域名所有權。這一新規預計將於2021年10月1日開始執行。

二、通配符證書將不支持文件驗證方式進行域名驗證

基於文件的域名驗證方式也叫文件驗證、http驗證。CA/B論壇對文件驗證方式提出更改：禁止通配符SSL證書使用文件驗證方式進行域名驗證，並限制子域名的有效使用。新規將於2021年12月1日開始執行。郵件驗證方式和DNS驗證方式不受影響。

目前，行業內允許僅對主域名（如racent.com）進行域名驗證即可，並適用於通配符證書（如*racent.com）和其下級子域名（如support.racent.com）。換言之，現在可以用文件驗證方式驗證一個主域名，其通配符域名和子域名都可以不用再做驗證。但是，新政生效後，如果要用文件驗證方式，則主域名和每個子域名都需要進行單獨驗證。郵件驗證和DNS驗證方式仍然可以用於通配符證書並且可以再次用於驗證其子域名。

解決方案

DigiCert、Sectigo等全球主流的CA機構均已發出域名驗證變更通知，為了應對這些變化，最大程度地降低證書中斷的風險，保障您的業務正常運行，銳成信息溫馨提示您提前好以下準備工作：

1.     定期做域名驗證

每398天SSL證書域名驗證就會過期，對於多年期的SSL證書（包括OV、EV、和DV），在當前SSL證書到期的時候，需要提醒客戶重新做域名驗證，否則會中斷證書申請、續費、重簽。

2.     更改通配符證書的域名驗證方法為郵件驗證或DNS驗證

目前，有些SSL證書銷售渠道會提供自動域名驗證的功能， 如果有使用文件驗證方式的，建議調整為郵件驗證或DNS驗證方式。

如果您對以上域名驗證變更有任何疑問，請聯繫您的客戶經理或銳成客服了解更多信息！