Chrome根证书计划逐步淘汰HTTPS证书不安全域验证方法

Chrome根证书计划强化HTTPS安全，逐步淘汰传统域验证方法

加利福尼亚州山景城 – Chrome根证书计划（Chrome Root Program）与CA/浏览器论坛（CA/Browser Forum）近日宣布一项重大安全升级，将通过采纳新要求逐步淘汰11种传统的域控制验证（Domain Control Validation, DCV）方法，用于HTTPS证书的签发。此次变更由CA/浏览器论坛近期通过的多项投票（SC-080、SC-090和SC-091）推动，旨在淘汰基于电子邮件、电话及实体邮件等低安全性验证方式，转而采用自动化、可加密验证的替代方案。整体过渡预计将于2028年3月完成，为网站运营者留出充足的适应时间。

域控制验证的重要性

域控制验证（DCV）是一项关键的安全流程，确保TLS证书仅签发给合法的域名运营者。若缺乏严格的DCV机制，攻击者可能通过欺诈手段获取不属于其控制的域名证书，进而实施冒充攻击或流量拦截。历史上，证书颁发机构（CA）依赖间接验证方法，如WHOIS查询或基于电子邮件的验证，但这些方式已被证明易受攻击（例如WatchTowr的RCE到域名接管攻击）。

现代DCV方法采用挑战-响应机制（challenge-response mechanisms），如在DNS TXT记录中放置随机值，或使用**自动化证书管理环境（ACME）**协议（RFC 8555）。这些方法不仅提供更强的域名所有权验证保障，还支持自动化流程，加快证书生命周期管理。

即将淘汰的验证方法

根据新要求，以下传统DCV方法将被逐步淘汰：

基于电子邮件的验证（已弃用）

• 向域名联系人发送电子邮件、传真、短信或实体邮件
• 向IP地址联系人发送电子邮件、传真、短信或实体邮件
• 构造电子邮件发送至域名联系人
• 向DNS CAA联系人发送电子邮件
• 向DNS TXT联系人发送电子邮件

基于电话的验证（已弃用）

• 与域名联系人进行电话验证
• 与DNS TXT记录中的电话联系人进行电话验证
• 与DNS CAA电话联系人进行电话验证
• 与IP地址联系人进行电话验证

反向查找验证（已弃用）

• IP地址验证
• 反向地址查找

影响与行业转变

尽管这些变更对终端用户透明，但通过消除对过时或间接验证信号（如陈旧的WHOIS数据或继承的基础设施）的依赖，显著减少了攻击面。此次转变与谷歌2022年提出的**“共同前行”**（Moving Forward, Together）路线图一致，强调通过自动化和标准化协议（如ACME）实现安全基础设施的现代化。

对于网站运营者，分阶段的弃用计划提供了长达数年的过渡期，以采用更强的DCV方法。建议组织采取以下措施：

• 迁移至基于ACME的证书签发（如Let’s Encrypt），实现自动化、加密安全的验证。
• 审计现有证书签发流程，识别并替换已弃用的DCV方法。
• 利用基于DNS的挑战（如DNS TXT记录）进行更具韧性的域名验证。

更广泛的安全影响

此次举措是业界提升HTTPS证书安全基准的重要一环。通过淘汰低安全性验证方法，CA/浏览器论坛与Chrome根证书计划降低了欺诈性证书签发的风险，避免中间人攻击（MITM）或域名欺骗等威胁。同时，这些变化促进了证书管理的灵活性与韧性，使组织能够更快应对新兴威胁。

随着互联网的发展，这些更新确保信任机制能够跟上现代安全挑战的步伐，惠及所有用户，无论其使用何种浏览器或平台。

---

延伸阅读：

• Chrome根证书计划“共同前行”路线图
• CA/浏览器论坛基线要求
• ACME协议（RFC 8555）