暂停使用邮件验证签发SSL证书
2024-12-16

基于 WHOIS 的电子邮件验证背景
在过去 20 年里,WHOIS 始终是证书颁发机构(CAs)用以确认网站所有者或运营者身份的验证途径之一。将 WHOIS 数据作为域名控制验证(DCV)流程中电子邮件验证的组成部分,因其便捷性而广受欢迎。

不过,这种方法也产生了一些问题:

  • 安全漏洞方面:研究人员察觉部分顶级域(TLD)的权威 WHOIS 服务器存在信息滞后情况,部分 CAs 在其验证体系里依旧依赖那些在系统中硬编码的旧版 WHOIS 服务器。这一漏洞致使恶意人员能够在 WHOIS 记录里注入虚假信息,最终让未获授权的第三方取得其并未掌控域名的 TLS 证书。
  • 隐私法规方面:隐私法规的变动使得 WHOIS 数据被删减,这导致其在验证方面的可信度大打折扣。


我们收到Sectigo的通知:

自2025年1月15日起,基于WHOIS的电子邮件验证将不再适用于.NL域名。
自2025年6月14日起,基于WHOIS的电子邮件验证将不再支持任何域名。
自2025年6月15日起,不能基于WHOIS验证发放或重新发放任何SSL证书。必须使用其他方法,如DNS、HTTP或预先批准的电子邮件。