尊敬的阿里云用户:
我们收到 DigiCert 通知:自 2026 年 2 月 24 日 起,DigiCert 将在执行 域名控制权验证(Domain Control Validation, DCV) 及 DNS CAA 记录检查 时,开始对查询结果进行 DNSSEC 验证(如域名已启用 DNSSEC)。该调整与 CA/浏览器论坛(CA/Browser Forum)SC-085v2 提案要求一致:当目标域名存在 DNSSEC 时,证书颁发机构在进行 CAA 与 DCV 查询时必须验证 DNSSEC。
DNS CAA 记录检查指的是:证书颁发机构(CA)在签发证书前,查询申请域名的 DNS 中是否配置了 CAA(Certification Authority Authorization)记录,以确认该域名授权哪些 CA 可以为其签发证书。
为帮助您评估影响并提前完成准备,现将相关事项公告如下:
变更内容概述
自 2026 年 2 月 24 日起,当 DigiCert 对您的域名进行 DCV 与 CAA 查询时:
若域名未启用 DNSSEC:按现有机制执行,不受影响;
若域名已启用 DNSSEC:DigiCert 将对 DNS 响应进行 DNSSEC 验证;
若 DNSSEC 配置不正确或链路不完整:将导致 DNS 响应无法通过验证,从而引发 DCV 或 CAA 检查失败,可能导致证书申请/签发被阻断或延迟。
影响范围与典型情形
域名未使用 DNSSEC
不受影响,可按现有流程申请与续签证书。
域名使用 DNSSEC 且配置正确
不受影响,可正常通过 DCV 与 CAA 检查。
域名使用 DNSSEC 但配置异常(例如 DS 记录错误、密钥轮换不当、签名过期、链路不完整等)
将可能出现以下情况,进而导致证书订单无法继续或签发延迟。
域名控制权验证(DCV)失败。
CAA 检查失败。
建议与客户行动项
如您的域名 已启用 DNSSEC,我们建议您尽快开展自检与整改:
优先建议:使用DNSSEC 健康检查工具自查,并联系您的域名注册商/ DNS 服务商,确保 DNSSEC 配置正确启用(包括 DS 记录、DNSKEY、签名链与有效期等)。
临时措施:如您短期内无法完成修复,为避免证书申请/续签受阻,可评估 暂时关闭 DNSSEC(请在充分评估业务安全策略与影响后实施)。
特别提醒(建议提前规划)
如您的证书即将到期且域名启用了 DNSSEC,请尽量 提前发起续签与验证,预留排障时间,避免临近到期时因验证失败影响业务连续性。
如您使用 CAA 策略限制签发 CA,建议同时确保 CAA 查询在 DNSSEC 下可被正确验证。