DigiCert吊销大量不符合规范的CNAME验证TLS证书

知名数字证书颁发机构DigiCert日前发布博客宣布吊销大约0.4%的域验证证书，考虑到该公司在数字证书市场的占有率，这0.4%估计也影响几万份甚至更多的数字证书。iy8品论天涯网

iy8品论天涯网

此次吊销主要原因是DigiCert发现使用CNAME进行域验证时存在失误，正常情况下使用这种方式验证前缀必须增加下划线，没有包含下划线的子域名仍然被视为不合规。iy8品论天涯网

在部分基于CNAME的验证中DigiCert注意到没有包含下划线前缀，根据CA/浏览器论坛(CABF)的规则，这些不合规且存在问题的数字证书必须在24小时内全部吊销。iy8品论天涯网

目前DigiCert已经向所有受影响的客户发送电子邮件要求客户立即重新验证并更换证书，如果客户没有及时更换证书则网站、服务器或应用程序将无法正常连接。iy8品论天涯网

请注意部分网站可能使用的不是由DigiCert直接签发的证书，但DigiCert作为ROOTCA，这种情况下仍然受影响，具体请咨询申请证书时的中级CA检查是否需要更换。iy8品论天涯网

对DigiCert来说这是一个比较严重的问题，这会影响DigiCert在CA领域的声誉，毕竟没有遵守CABF规则的都是不合规操作，所以DigiCert也决定即便是可能影响客户的使用也必须在24小时内吊销所有问题证书。iy8品论天涯网

蓝点网以前使用的也是DigiCert签发的数字证书，不过现在为了节省开支都已经换成Let’sEncrypt提供的免费数字证书，好消息是也不用为这次问题担心了。iy8品论天涯网