如果您目前HTTPS認證為免費認證,受CA/B最新提案的策略變化影響,阿里雲CDN控制台的免費認證申請成功率會大幅下降。若您後續有免費認證申請的需求,請您儘快到SSL認證控制台重新申請和部署。
適用對象
本公告僅針對使用HTTPS免費認證,或者即將申請免費認證的使用者。
變更內容
尊敬的阿里雲使用者:
SSL認證產品公告: 關於網域名稱所有權驗證策略調整的通知。
受 CA/B 最新提案的影響,阿里雲SSL認證服務將對網域名稱所有權的驗證策略( 檔案驗證 方式)進行調整。
生效時間 :2021年09月21日起。
- 萬用字元網域名稱(例如,*.example.com、*.1.example.com等)不再支援通過檔案驗證的方式進行網域名稱所有權驗證。
屆時,您通過SSL認證服務申請萬用字元認證時,只能使用DNS驗證的方式驗證網域名稱所有權。關於DNS驗證的更多介紹,請參見 DNS驗證方式。
- 單網域名稱(包含頂級域和子網域名稱,例如,example.com、www.example.com等)仍支援通過檔案驗證的方式進行網域名稱所有權驗證,但是使用檔案驗證時,所有單網域名稱都必須單獨完成驗證。
屆時,如果您使用檔案驗證方式驗證網域名稱所有權,必須分別對頂級域(例如,example.com)和相關子網域名稱(例如,www.example.com)進行驗證。關於檔案驗證的更多介紹,請參見 檔案驗證方式。
相關資訊 : Domain validation policy changes in 2021
給您帶來不便,敬請諒解。如果您有任何疑問,請提交 提交工单聯絡我們。
政策影響
| 網域名稱類別 | 政策影響 |
|---|---|
| 頂級網域名稱:例如example.com。 | 無影響。 |
| www單網域名稱:例如www.example.com。 | 無影響。 |
| 非www單網域名稱:例如123.example.com,yyy.example.com。 | 申請免費認證會失敗。
说明 CDN免費認證僅針對單網域名稱可申請,單網域名稱申請通過檔案驗證進行網域名稱所有權驗證時,會擷取認證檔案,並儲存在CDN邊緣節點,以便CA機構可以通過邊緣節點擷取驗證檔案,完成免費認證申請。新政策要求非www單網域名稱必須分別對頂級網域名稱(例如,example.com)和相關子網域名稱(例如,123.example.com,yyy.example.com)同時進行驗證,才能成功申請免費認證。而CDN控制台不支援非www單網域名稱情境擷取頂級網域名稱驗證檔案功能,因此非www單網域名稱無法驗證成功,最終結論為非www單網域名稱申請免費認證會失敗。
|
應對策略
您已經申請過免費認證並部署至CDN
CDN控制台的續簽認證邏輯:老認證到期前自動申請一張新認證,然後自動部署在網域名稱上。由於受CA/B最新提案的影響,您之前在CDN控制台申請的免費認證,自動重新申請的成功率會大幅降低。如果您之前在CDN控制台申請了免費認證,建議您在老認證到期前,在SSL認證產品重新申請一張新認證並部署到您的網站上。
SSL認證產品中申請免費認證可以採用DNS驗證,檔案驗證等多種方式,申請成功率較高。
新申請免費認證
建議您在SSL認證產品申請免費認證: 免費認證申請流程。
如果您仍在CDN控制台進行免費認證申請,需要關注免費認證申請條件政策前後變化(不再推薦您通過CDN申請免費認證):
| 變更前 | 變更後 |
|---|---|
| 當前加速網域名稱需已正確配置CNAME。 | 無變化 |
| 當前加速網域名稱的DNS記錄中不能有CAA記錄,或者CAA記錄包含Digicert.com和digicert.com,不支援泛網域名稱申請。 | 無變化 |
| 免費認證僅能保護一個明細網域名稱(當前加速網域名稱)。 | 無變化 |
| 需授權阿里雲代申請免費認證。 | 無變化 |
| 生效之後加速網域名稱的SSL Labs安全等級為A。 | 無變化 |
| 免費認證有效期間一年,到期前七天還未自動續簽成功,請在認證到期前進行手動更新認證。 | 無變化 |
| 如需申請www網域名稱免費認證,則必須將頂級網域名稱也配置並全量解析到阿里雲CDN。
说明 www.aliyun.com,aliyun.com均需配置到阿里雲CDN,並DNS解析全量切到阿里雲CDN CNAME。其他子網域名稱無需做此配置。
|
|