如果您目前HTTPS证书为免费证书,受CA/B最新提案的策略变化影响,阿里云全站加速控制台的免费证书申请成功率会大幅下降。若您后续有免费证书申请的需求,请您尽快到SSL证书控制台重新申请和部署。

适用对象

本公告仅针对使用HTTPS免费证书,或者即将申请免费证书的用户。

变更内容

尊敬的阿里云用户:

SSL证书产品公告:关于域名所有权验证策略调整的通知

CA/B 最新提案的影响,阿里云SSL证书服务将对域名所有权的验证策略(文件验证方式)进行调整。

生效时间:2021年09月21日起。

变更内容
  • 通配符域名(例如,*.aliyundoc.com、*.developer.aliyundoc.com等)不再支持通过文件验证的方式进行域名所有权验证。

    届时,您通过SSL证书服务申请通配符证书时,只能使用DNS验证的方式验证域名所有权。关于DNS验证的更多介绍,请参见DNS验证方式

  • 单域名(包含顶级域和子域名,例如,aliyundoc.com、example.aliyundoc.com等)仍支持通过文件验证的方式进行域名所有权验证,但是使用文件验证时,所有单域名都必须单独完成验证。

    届时,如果您使用文件验证方式验证域名所有权,必须分别对顶级域(例如,aliyundoc.com)和相关子域名(例如,example.aliyundoc.com)进行验证。关于文件验证的更多介绍,请参见文件验证方式

给您带来不便,敬请谅解。如果您有任何疑问,请提交工单或者通过钉钉售后服务群联系我们。

政策影响

域名类别 政策影响
顶级域名:例如example.com。 无影响。
www单域名:例如www.example.com。 无影响。
非www单域名:例如example.aliyundoc.com。 申请免费证书会失败。
说明 阿里云全站加速免费证书仅针对单域名可申请,单域名申请通过文件验证进行域名所有权验证时,会获取认证文件,并存储在阿里云全站加速边缘节点,以便CA机构可以通过边缘节点获取验证文件,完成免费证书申请。新政策要求非www单域名必须分别对顶级域名(例如,aliyundoc.com)和相关子域名(例如,example.aliyundoc.com,demo.aliyundoc.com)同时进行验证,才能成功申请免费证书。而阿里云全站加速控制台不支持非www单域名场景获取顶级域名验证文件功能,因此非www单域名无法验证成功,最终结论为非www单域名申请免费证书会失败。
说明 阿里云全站加速控制台的免费证书申请功能入口也会逐步迁移至SSL证书中心,具体时间另行通知。建议您通过证书中心进行免费证书申请后,然后部署在阿里云全站加速上。

应对策略

您已经申请过免费证书并部署至阿里云全站加速

阿里云全站加速控制台的续签证书逻辑:老证书到期前自动申请一张新证书,然后自动部署在域名上。由于受CA/B最新提案的影响,您之前在阿里云全站加速控制台申请的免费证书,自动重新申请的成功率会大幅降低。如果您之前在阿里云全站加速控制台申请了免费证书,建议您在老证书到期前,在SSL证书产品重新申请一张新证书并部署到您的网站上。

SSL证书产品中申请免费证书可以采用DNS验证,文件验证等多种方式,申请成功率较高。

  1. 登录全站加速控制台
  2. 在左侧导航栏,选择工具管理 > 证书服务
  3. 如果您的证书来源显示为免费证书。
  4. 建议您在2021年09月21日前,通过云盾SSL证书产品重新申请域名的免费证书。具体申请方式,请参见申请免费DV试用证书
    注意

    申请免费证书时,需要域名所有权验证,在验证时主要注意如下几点。

    • 通配符域名(例如,*.aliyundoc.com、*.developer.aliyundoc.com等)不再支持通过文件验证的方式进行域名所有权验证。您通过SSL证书服务申请通配符证书时,只能使用DNS验证的方式验证域名所有权。
    • 单域名(包含顶级域和子域名,例如,aliyundoc.com、example.aliyundoc.com等)仍支持通过文件验证的方式进行域名所有权验证,但是使用文件验证时,所有单域名都必须单独完成验证。如果您使用文件验证方式验证域名所有权,必须分别对顶级域(例如,aliyundoc.com)和相关子域名(例如,example.aliyundoc.com)进行验证。
    • 验证方式,请参见域名所有权验证
  5. 配置HTTPS免费证书至阿里云全站加速域名。具体方式,请参见配置HTTPS证书

新申请免费证书

建议您在SSL证书产品申请免费证书:提交证书申请

如果您仍在阿里云全站加速控制台进行免费证书申请,需要关注免费证书申请条件政策前后变化(不再推荐您通过阿里云全站加速申请免费证书):

变更前 变更后
当前加速域名需已正确配置CNAME。 无变化
当前加速域名的DNS记录中不能有CAA记录,或者CAA记录包含Digicert.com和digicert.com,不支持泛域名申请。 无变化
免费证书仅能保护一个明细域名(当前加速域名)。 无变化
需授权阿里云代申请免费证书。 无变化
生效之后加速域名的SSL Labs安全等级为A。 无变化
免费证书有效期一年,到期前七天还未自动续签成功,请在证书过期前进行手动更新证书。 无变化
如需申请www域名免费证书,则必须将顶级域名也配置并全量解析到阿里云全站加速。
说明 www.aliyun.com,aliyun.com均需配置到阿里云全站加速,并DNS解析全量切到阿里云全站加速 CNAME。其他子域名无需做此配置。
  • www域名影响:无变化。
  • 其他子域名影响:非www域名将无法通过阿里云全站加速免费证书工程申请免费证书。

相关文档