受CA/B最新提案的策略变化影响,阿里云CDN|DCDN产品免费证书申请及续签成功率会受到较大影响,因此建议您尽快到SSL证书产品重新进行证书申请及部署。建议您在2021年09月21日前,通过云盾SSL证书产品重新申请域名的免费证书,或直接购买付费证书,并将证书重新部署到CDN|DCDN服务。
证书申请及部署流程
政策变更内容
1、通配符域名(例如,*.example.com、*.1.example.com等)不再支持通过文件验证的方式进行域名所有权验证。届时,您通过SSL证书服务申请通配符证书时,只能使用DNS验证的方式验证域名所有权。关于DNS验证的更多介绍,请参见DNS验证方式。
2、单域名(包含顶级域和子域名,例如,example.com、www.example.com等)仍支持通过文件验证的方式进行域名所有权验证,但是使用文件验证时,所有单域名都必须单独完成验证。届时,如果您使用文件验证方式验证域名所有权,必须分别对顶级域(例如,example.com)和相关子域名(例如,www.example.com)进行验证。关于文件验证的更多介绍,请参见文件验证方式。
政策生效时间:2021年09月21日,详见『关于域名所有权验证策略调整的通知』。
相关信息:Domain validation policy changes in 2021
变更影响说明
当前阿里云CDN|DCDN产品免费证书功能仅支持单域名申请,且采用文件验证方式,因此受政策调整影响。当前申请成功的条件如下:
- 当前加速域名需已正确配置CNAME。
- 当前加速域名的DNS记录中不能有CAA记录,或者CAA记录包含com和digicert.com,不支持泛域名申请。
- 免费证书仅能保护保护一个明细域名(当前加速域名)
- 需授权阿里云代申请免费证书
- 生效之后加速域名的SSL Labs安全等级为A
- 免费证书有效期一年,到期前七天还未自动续签成功,请在证书过期前进行手动更新证书
重点影响部分
如需申请www域名免费证书,则必须将顶级域名也配置并全量解析到阿里云CDN,即:www.aliyun.com,aliyun.com均需配置到阿里云CDN,并DNS解析全量切到阿里云CDN CNAME。其他子域名无需做此配置。
政策调整的影响
www子域名影响:按当前申请步骤仍可正常申请免费证书。政策调整前www域名申请免费证书需要将顶级域名一并配置并解析,政策调整后www域名仍可按照如上步骤正常申请
其他子域名影响:非www域名将无法通过阿里云CDN|DCDN免费证书工程申请免费证书。例如:yyy.aliyun.com在政策调整前,需在DNS中将域名全量配置阿里云CDN CNAME,则可申请免费证书;但在新政策中,yyy.aliyun.com将无法通过阿里云CDN|DCDN产品申请免费证书,需单独通过证书中心申请免费证书