注意！代码签名证书与SSL证书规则又有新变化，上海CA已经为您做好准备

互联网时代，伴随着科技的快速发展，海量个人信息逐渐数据化、可视化、精准化，随之而来的便是信息泄露事件的频发，为了应对上述问题，越来越多的企业用户通过使用加密证书来确保企业和用户的隐私安全。

为了切实保障证书对网站数据的保护效用，证书策略也一直在不断迭代升级。据可靠消息，代码签名证书与SSL证书的证书策略将迎来新的变更，详情如下。

1

# Certificate Authority #

代码签名证书

为了提高证书安全性，提前为未来先进技术做好准备，作为全球网络安全行业国际组织，CA/B论坛发布了如下通知：从2021年6月1日起，代码签名证书的较小密钥长度将从2048位增强至3072位。

变更及建议

在2021年6月1日之前签发的2048位代码签名证书，仍然可以继续有效使用。如果是在6月1日之后重签或续费代码证书，需要在生成CSR时选择RSA3072加密位数。但即使是在6月1日之前签发的2048位证书，为了遵循行业标准、提高安全性，还是建议您尽快重签切换到3072位代码签名证书。

由于时间戳服务是代码签名长期有效的重要组成部分，因此需要同步更新时间戳URL，并将密钥长度从2048位更改为3072位密钥。

2

# Certificate Authority #

SSL证书

据CA/B Forum，2021年10月1日起，SSL证书每398天需重新做域名验证；同年12月1日起，通配符SSL证书将不支持文件验证域名。

此次域名验证重大变更将会影响到证书申请时域名验证方式的选择和域名验证的有效期。

注意：本次策略变更是针对所有新证书的申请、续费、重签，已签发的TLS/SSL证书不受影响。

变更一：每398天需要重新进行域名验证

Mozilla和CA/B论坛将域名验证有效期缩短至398天。这就要求预审域名验证的客户每年重新验证域名所有权。这一新规预计将于2021年10月1日开始执行。

变更二：通配符证书将不支持文件验证方式进行域名验证

基于文件的域名验证方式也叫文件验证、http验证。CA/B论坛对文件验证方式提出更改：禁止通配符SSL证书使用文件验证方式进行域名验证，并限制子域名的有效使用。新规将于2021年12月1日开始执行。邮件验证方式和DNS验证方式不受影响。

目前，行业内允许仅对主域名（如sheca.com）进行域名验证即可，并适用于通配符证书（如*.sheca.com）和其下级子域名（如support.sheca.com）。换言之，现在可以用文件验证方式验证一个主域名，其通配符域名和子域名都可以不用再做验证。但是，新政生效后，如果要用文件验证方式，则主域名和每个子域名都需要进行单独验证。邮件验证和DNS验证方式仍然可以用于通配符证书并且可以再次用于验证其子域名。

解决方案

?定期做域名验证

每398天SSL证书（包括OV、EV）将会到期，在当前SSL证书到期的时候，需要提醒客户重新做域名验证，否则会中断证书申请、续费、重签。

?更改通配符证书验证方式

将通配符证书域名所有权验证方式更改为邮箱或DNS方式验证。

若您有网站安全需求，作为卓越的数字信任服务提供商，同时又是国内首批专业的数字认证机构， 上海CA万维信将矢志不渝为客户服务，通过提供安全可靠的证书安全策略与SSL证书产品满足您各类安全需求。

▲ 上海CA可为您提供各类可靠证书

万维信是上海CA自主研发的国产SSL证书品牌，专注数字证书算法攻坚、证书颁发、安全部署等系列服务多年，是上海市人民政府、上海市大数据中心、上海市浦东国际机场货运站有限公司、华侨永亨银行（中国）有限公司、上海诺基亚贝尔股份有限公司、郑州商品交易所、中国中煤能源集团有限公司、苏宁易购集团股份有限公司、上交所技术有限责任公司等多家知名企业深思熟虑后的选择。