從2025年3月1日起,網路中文所提供的SSL憑證將全面取消WHOIS信箱驗證選項,用戶將無法再透過此方式完成SSL憑證的Domain Control Validation(DCV驗證)。此變更不會影響已經核發的SSL憑證。如果您正在進行新的憑證申請或更新,則將按照新的驗證流程進行。
WHOIS是一種查詢機制,要求域名註冊時公開註冊資料,如域名註冊日、到期日等及註冊人資訊(公司名稱、電子信箱等)。這樣的資料公開目的是確認域名是否可註冊、網站的營運是否為該企業的真實身分,以及便於合法聯繫註冊人。註冊人需維護正確資料,註冊商需同步更新WHOIS資料。
隨著全球隱私保護法規(如歐盟GDPR通用資料保護法)和網絡安全環境的變化,以WHOIS資料驗證的效率開始降低並且容易被濫用。2024年8月,WatchTowr的研究人員發現個一個漏洞,從而可能頒發偽造的SSL/TLS憑證,為了應對此問題,憑證機構與瀏覽器論壇(Certificate Authority/Browser Forum)在2024年11月投票通過停止使用WHOIS信箱驗證做為DCV驗證的方法。
建議未來可選擇以下幾種方式進行DCV驗證:
1. E-mail驗證 (非WHOIS信箱驗證。此驗證方式適合有使用域名作為信箱使用,並擁有新增信箱管理權限的使用者。)
2. HTTPCSRHASH驗證 (適合擁有網站主機實際管理權限的使用者)
3. DNS驗證 (適合擁有DNS伺服器設定控制權的使用者設定)
相關說明請參考:SSL憑證驗證流程
參考資料:
We Spent $20 To Achieve RCE And Accidentally Became The Admins Of .MOBI