Ngưng xác thực Tên miền qua email lấy từ whois
Bắt đầu từ ngày 2 tháng 12 năm 2024, phương pháp xác thực kiểm soát tên miền email (DCV) dựa trên WHOIS để lấy chứng chỉ SSL/TLS sẽ không còn được MuaSSL.com cung cấp nữa. Gần đây, các chuyên gia trong ngành đã chứng minh rằng phương pháp này dễ bị tấn công, dẫn đến việc CA/Browser Forum loại bỏ trong tương lai.
Các nhà nghiên cứu bảo mật từ watchTowr gần đây đã phát hiện ra một lỗ hổng khi đăng ký một tên miền đã hết hạn từng được sử dụng làm trang chủ chính thức của máy chủ WHOIS có thẩm quyền. Hơn 135.000 hệ thống tiếp tục truy vấn máy chủ giả mạo của họ, cho phép cấp chứng chỉ SSL/TLS giả mạo. Sự cố này đã phơi bày những lỗ hổng đáng kể trong hệ thống WHOIS. Để ứng phó, Google đã đề xuất một cuộc bỏ phiếu của Diễn đàn CA/Trình duyệt nhằm loại bỏ WHOIS và các nguồn thông tin Liên hệ tên miền khác làm phương pháp xác thực tên miền. Đề xuất của Google nêu rõ những thay đổi sau mà tất cả các cơ quan cấp chứng chỉ sẽ phải triển khai trước ngày 15 tháng 7 năm 2025:
- Các yêu cầu hiện tại về xác minh tên miền dựa trên WHOIS sẽ được siết chặt: Từ ngày 15 tháng 1 năm 2025, các tổ chức cấp chứng chỉ SSL sẽ bị cấm sử dụng thông tin liên hệ của tên miền (địa chỉ email hoặc số điện thoại) thu thập từ trang web HTTPS và phải trực tiếp thu thập thông tin liên hệ qua giao thức WHOIS (RFC 3912) hoặc giao thức Truy cập Dữ liệu của Bảng đăng ký (RFC 7482).
- Cấm sử dụng WHOIS để xác định thông tin liên hệ của tên miền: Từ ngày 15 tháng 7 năm 2025, việc xác minh tên miền dựa trên WHOIS không được sử dụng. Ngoài ra, việc xác minh trước đó bằng phương pháp này không thể sử dụng để cấp chứng chỉ mới.
Tại MuaSSL.com, chúng tôi ủng hộ đề xuất này của Google và chúng tôi đang lên lịch ngừng sử dụng phương pháp này sớm vào ngày 2 tháng 12 năm 2024 với sự thận trọng cao độ.
Thay đổi này sẽ ảnh hưởng đến khách hàng của MuaSSL.com?
Chúng tôi sẽ không bao gồm địa chỉ email từ WHOIS, RDAP hoặc các nguồn Liên hệ miền khác trong quá trình xác minh tên miền. Trong tài khoản MuaSSL.com của bạn, khi xác minh một tên miền, menu thả xuống sẽ không bao gồm địa chỉ email đã chọn trước đó từ Nhà đăng ký tên miền của bạn. Ngoài ra, việc xác minh dựa trên Liên hệ miền hiện có sẽ không còn được sử dụng lại để phát hành lại hoặc gia hạn chứng chỉ. Bạn sẽ cần phải xác minh lại các tên miền của mình bằng phương pháp thay thế.
Khách hàng của MuaSSL.com nên làm gì tiếp theo?
Để chuẩn bị cho thay đổi này, bạn sẽ cần chuyển sang phương pháp DCV khác trước ngày 2 tháng 12 năm 2024. Các tùy chọn khác cho DCV sẽ được giải thích trong phần tiếp theo.
MuaSSL.com cung cấp những phương án thay thế khác nhau, được liệt kê dưới đây. Khi ngành công nghiệp dần dần loại bỏ dữ liệu liên hệ tên miền (Domain Contact), chúng tôi khuyến nghị người dùng chuyển sang một trong các phương pháp DCV được hỗ trợ khác càng sớm càng tốt.
- Xác nhận qua Email
Sau khi đặt hàng, một email sẽ được gửi đến địa chỉ đã được ủy quyền. Theo liên kết trong email và nhập mã xác minh để thiết lập quyền kiểm soát miền. - Xác nhận qua tập tin HTTP/HTTPS
Tải lên một tập tin cụ thể lên trang web của bạn chứa dữ liệu băm từ Yêu cầu Ký Chứng chỉ (CSR) của bạn, cũng như một mã thông báo duy nhất được cung cấp bởi MuaSSL.com. Khi tập tin được đặt đúng vị trí, quyền kiểm soát miền sẽ được xác nhận. - Xác nhận qua DNS CNAME
Tạo một bản ghi CNAME trong DNS của miền của bạn trỏ đến giá trị của CA được cung cấp bởi MuaSSL.com, bản ghi này phải bao gồm các băm MD5 và SHA-256 của CSR cùng với mã thông báo duy nhất.
Nếu bạn có câu hỏi, xin liên hệ nhân viên hỗ trợ hoặc support@muassl.com để biết thêm chi tiết.