域名驗證型證書

域名驗證型證書(Domain-validated certificate),是一種認證申請人持有的單個域名X.509數字證書。其通常用於傳輸層安全協議

簽發標準

簽發域名驗證型證書的認證通常通過Whois記錄、DNS記錄、電子郵件或網絡託管帳戶等手段進行。被認證者,即域名持有者,通常需要如下行為之一:[1]

  • 回復發送到Whois記錄中載明的電子郵件地址的郵件;
  • 回復發送到域名對應的常見的管理者郵件地址的郵件,例如admin@或postmaster@等;
  • 發佈一個DNS TXT記錄;
  • 通過自動化的證書籤發系統發佈一個nonce

域名驗證型證書和擴展驗證證書的區別在於,認證域名是簽發域名驗證型證書的唯一要求。特別是,域名驗證型證書並不保證任何特定的法律實體關聯到該證書,即使可能意味着某一法律實體控制該域名。

用戶界面

大多數網絡瀏覽器可能會在地址欄附近顯示一個通常是灰色的鎖。對於此類證書來講,並不會顯示任何法律實體的名稱;與之對比,對於擴展驗證證書,由於證書中包含有相應法律實體的名稱,則通常會顯示為綠色的鎖並額外顯示該名稱。

  • Firefox曾經顯示域經驗證的證書有一個灰色的鎖,但是在推出Let's Encrypt後修改為綠色的鎖。
  • Safari顯示一個灰色的鎖。
  • Microsoft Edge顯示一個空心灰色鎖。
  • ChromeChromium目前顯示綠色的鎖,其計劃修改為對此類證書不顯示鎖而對未加密的頁面標記「不安全」。

特點

此類證書對認證的要求較低,因而可以通過無人干預認證系統迅速簽發。於是這類證書通常有如下獨特的特點:

  • 其可用於自動化X.509證書籤發系統;
  • 其通常是廉價或免費的;
  • 其可能未經驗證任何文件而簽發;
  • 其中大多數可以非常迅速地簽發。

參考文獻

  1. ^ Issuing Criteria of Domain Validated SSL Certificates (DV SSL)- SSL Retail. [2018-05-21]. (原始內容存檔於2020-09-25) (美國英語).