CA/浏览器论坛部署新安全要求 多方发行验证/凭证检查和即将弃用WHOIS验证

负责制定数字证书签发和验证的行业机构 CA / 浏览器论坛在 2024 年 9 月讨论过 WHOIS 验证申请证书并认为这种方式已经过时，因此当时该机构就提出要直接弃用这种验证方式。

CA / 浏览器论坛是由证书颁发机构 (CA)、操作系统开发商、软件开发商、浏览器开发商、安全邮件软件开发商等组成的行业联盟，主要负责制定 TLS/SSL 数字证书的签发、验证和安全政策。

在 2025 年 3 月实施的变化中，CA / 浏览器论坛进行多项变更并且也确实按计划弃用 WHOIS 验证方式从而提高隐私性，WHOIS 是域名注册信息默认是公开的，但基于隐私考虑多数域名都会隐藏真实的 WHOIS 信息。

WHOIS 验证主要靠域名管理员邮箱，隐藏真实信息后实际上无法通过邮箱验证，另外此前还出现过 WHOIS 忘记续费某个 Mobi 域名导致被研究人员注册，该网站收到包括 CA 在内的巨量网站发送的请求，研究人员实际上可以借助该域名欺骗 CA 从而获得数字证书。

根据当前计划 WHOIS 验证会在 7 月 15 日生效，届时基于 WHOIS 的电子邮件、电话、传真或实体邮件等验证方式会被彻底弃用，对大多数网站来说这基本不会产生影响。

除了弃用 WHOIS 验证外，这次实施的策略中还包括多方发行验证 MPIC 以及凭证检查 Linting，这两项要求都是用于增强安全验证，避免攻击者通过潜在的弱点申请特定域名的证书。

原本证书申请者通过在网域中添加随机值用于检查，如果检查通过则 CA 默认申请者确实拥有该网站的控制权因此也可以签发证书，但 CA 是通过单一路由检查这个随机值是否添加的。

此前曾发生过黑客通过 BGP 劫持方式用来劫持特定流量，从而欺骗 CA 成功获得数字证书，现在 MPIC 机制则会从多个不同的地理位置或网络服务提供商进行相同的验证，这样可以减低类似的 BGP 劫持攻击。

凭证检查 Linting 是个自动化流程用于分析凭证以及防止错误、不一致和不合标准的情况，以前 CA 可选凭证检查，从 3 月 15 日开始凭证检查变成强制性措施，这可以降低潜在的错误。

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
让资讯触达的更精准有趣：https://www.0xu.cn/