如果您目前HTTPS認證為免費認證,受CA/B最新提案的策略變化影響,阿里雲CDN控制台的免費認證申請成功率會大幅下降。若您後續有免費認證申請的需求,請您儘快到SSL認證控制台重新申請和部署。
適用對象
本公告僅針對使用HTTPS免費認證,或者即將申請免費認證的使用者。
變更內容
尊敬的阿里雲使用者:
SSL認證產品公告:關於網域名稱所有權驗證策略調整的通知。
受CA/B最新提案的影響,阿里雲SSL認證服務將對網域名稱所有權的驗證策略(檔案驗證方式)進行調整。
CA/B:國際CA/瀏覽器產業聯盟(CA/Browser Forum,簡稱CA/B)是制定CA國際標準的技術聯盟,其發布的規定在數位憑證行業內具有權威和普適性。
生效時間:2021年09月21日起。
變更內容:
萬用字元網域名稱(例如,*.aliyundoc.com、*.developer.aliyundoc.com等)不再支援通過檔案驗證的方式進行網域名稱所有權驗證。
屆時,您通過SSL認證服務申請萬用字元認證時,只能使用DNS驗證的方式驗證網域名稱所有權。關於DNS驗證的更多介紹,請參見DNS驗證方式。
單網域名稱(包含頂級域和子網域名稱,例如,aliyundoc.com、developer.aliyundoc.com等)仍支援通過檔案驗證的方式進行網域名稱所有權驗證,但是使用檔案驗證時,所有單網域名稱都必須單獨完成驗證。
屆時,如果您使用檔案驗證方式驗證網域名稱所有權,必須分別對頂級域(例如,aliyundoc.com)和相關子網域名稱(例如,developer.aliyundoc.com)進行驗證。關於檔案驗證的更多介紹,請參見檔案驗證方式。
相關資訊:Domain validation policy changes in 2021
給您帶來不便,敬請諒解。如果您有任何疑問,請提交工單聯絡我們。
政策影響
網域名稱類別 | 政策影響 |
頂級網域名稱:例如example.com。 | 無影響。 |
www單網域名稱:例如www.example.com。 | 無影響。 |
非www單網域名稱:例如*.aliyundoc.com。 | 申請免費認證會失敗。 說明 阿里雲CDN免費認證僅針對單網域名稱可申請,單網域名稱申請通過檔案驗證進行網域名稱所有權驗證時,會擷取認證檔案,並儲存在阿里雲CDN邊緣節點,以便CA機構可以通過邊緣節點擷取驗證檔案,完成免費認證申請。新政策要求非www單網域名稱必須分別對頂級網域名稱(例如,aliyundoc.com)和相關子網域名稱(例如,example.aliyundoc.com,demo.aliyundoc.com)同時進行驗證,才能成功申請免費認證。而阿里雲CDN控制台不支援非www單網域名稱情境擷取頂級網域名稱驗證檔案功能,因此非www單網域名稱無法驗證成功,最終結論為非www單網域名稱申請免費認證會失敗。 |
阿里雲CDN控制台的免費認證申請功能入口也會逐步遷移至SSL認證中心,具體時間另行通知。建議您通過認證中心進行免費認證申請,然後部署在阿里雲CDN上。
應對策略
您已經申請過免費認證並部署至阿里雲CDN
阿里雲CDN控制台的續簽認證邏輯:老認證到期前自動申請一張新認證,然後自動部署在網域名稱上。由於受CA/B最新提案的影響,您之前在阿里雲CDN控制台申請的免費認證,自動重新申請的成功率會大幅降低。如果您之前在阿里雲CDN控制台申請了免費認證,建議您在老認證到期前,在SSL認證產品重新申請一張新認證並部署到您的網站上。
SSL認證產品中申請免費認證可以採用DNS驗證,檔案驗證等多種方式,申請成功率較高。
登入CDN控制台。
在左側導覽列,選擇。
如果您的認證來源顯示為免費認證。
建議您在2021年09月21日前,通過Apsara Stack SecuritySSL認證產品重新申請網域名稱的免費認證。
重要申請免費認證時,需要網域名稱所有權驗證,在驗證時主要注意如下幾點。
萬用字元網域名稱(例如,*.aliyundoc.com、*.developer.aliyundoc.com等)不再支援通過檔案驗證的方式進行網域名稱所有權驗證。您通過SSL認證服務申請萬用字元認證時,只能使用DNS驗證的方式驗證網域名稱所有權。
單網域名稱(包含頂級域和子網域名稱,例如,aliyundoc.com、example.aliyundoc.com等)仍支援通過檔案驗證的方式進行網域名稱所有權驗證,但是使用檔案驗證時,所有單網域名稱都必須單獨完成驗證。如果您使用檔案驗證方式驗證網域名稱所有權,必須分別對頂級域(例如,aliyundoc.com)和相關子網域名稱(例如,example.aliyundoc.com)進行驗證。
驗證方式,請參見網域名稱所有權驗證。
配置HTTPS免費認證至阿里雲CDN網域名稱。具體方式,請參見配置HTTPS認證。
新申請免費認證
建議您在SSL認證產品申請免費認證:提交認證申請。
如果您仍在阿里雲CDN控制台進行免費認證申請,需要關注免費認證申請條件政策前後變化(不再推薦您通過阿里雲CDN申請免費認證):
變更前 | 變更後 |
當前加速網域名稱需已正確配置CNAME。 | 無變化 |
當前加速網域名稱的DNS記錄中不能有CAA記錄,或者CAA記錄包含Digicert.com和digicert.com,不支援泛網域名稱申請。 | 無變化 |
免費認證僅能保護一個明細網域名稱(當前加速網域名稱)。 | 無變化 |
需授權阿里雲代申請免費認證。 | 無變化 |
生效之後加速網域名稱的SSL Labs安全等級為A。 | 無變化 |
免費認證有效期間一年,到期前七天還未自動續簽成功,請在認證到期前進行手動更新認證。 | 無變化 |
如需申請www網域名稱免費認證,則必須將頂級網域名稱也配置並全量解析到阿里雲CDN。 說明 www.aliyundoc.com,aliyundoc.com均需配置到阿里雲CDN,並DNS解析全量切到阿里雲CDN CNAME。其他子網域名稱無需做此配置。 |
|