尊敬的阿里雲使用者:
我們收到 DigiCert 通知:自 2026 年 2 月 24 日 起,DigiCert 將在執行 網域名稱控制權驗證(Domain Control Validation, DCV) 及 DNS CAA 記錄檢查 時,開始對查詢結果進行 DNSSEC 驗證(如網域名稱已啟用 DNSSEC)。該調整與 CA/瀏覽器論壇(CA/Browser Forum)SC-085v2 提案要求一致:當目標網域名稱存在 DNSSEC 時,憑證授權單位在進行 CAA 與 DCV 查詢時必須驗證 DNSSEC。
DNS CAA 記錄檢查指的是:憑證授權單位(CA)在簽發認證前,查詢申請網域名稱的 DNS 中是否配置了 CAA(Certification Authority Authorization)記錄,以確認該網域名稱授權哪些 CA 可以為其簽發認證。
為協助您評估影響並提前完成準備,現將相關事項公告如下:
變更內容概述
自 2026 年 2 月 24 日起,當 DigiCert 對您的網域名稱進行 DCV 與 CAA 查詢時:
若網域名稱未啟用 DNSSEC:按現有機制執行,不受影響;
若網域名稱已啟用 DNSSEC:DigiCert 將對 DNS 響應進行 DNSSEC 驗證;
若 DNSSEC 配置不正確或鏈路不完整:將導致 DNS 響應無法通過驗證,從而引發 DCV 或 CAA 檢查失敗,可能導致認證申請/簽發被阻斷或延遲。
影響範圍與典型情形
網域名稱未使用 DNSSEC
不受影響,可按現有流程申請與續簽認證。
網域名稱使用 DNSSEC 且配置正確
不受影響,可正常通過 DCV 與 CAA 檢查。
網域名稱使用 DNSSEC 但配置異常(例如 DS 記錄錯誤、密鑰輪換不當、簽名到期、鏈路不完整等)
將可能出現以下情況,進而導致認證訂單無法繼續或簽發延遲。
網域名稱控制權驗證(DCV)失敗。
CAA 檢查失敗。
建議與客戶行動項
如您的網域名稱 已啟用 DNSSEC,我們建議您儘快開展自檢與整改:
優先建議:使用DNSSEC 健全狀態檢查工具自查,並聯絡您的網域名稱註冊商/ DNS 服務商,確保 DNSSEC 配置正確啟用(包括 DS 記錄、DNSKEY、簽名鏈與有效期間等)。
臨時措施:如您短期內無法完成修複,為避免認證申請/續簽受阻,可評估 暫時關閉 DNSSEC(請在充分評估業務安全性原則與影響後實施)。
特別提醒(建議提前規劃)
如您的認證即將到期且網域名稱啟用了 DNSSEC,請盡量 提前發起續簽與驗證,預留排障時間,避免臨近到期時因驗證失敗影響商務持續性。
如您使用 CAA 策略限制簽發 CA,建議同時確保 CAA 查詢在 DNSSEC 下可被正確驗證。