域名验证型证书
此条目需要补充更多来源。 (2022年8月2日) |
域名验证型证书(Domain-validated certificate),是一种认证申请人持有的单个域名的X.509数字证书。其通常用于传输层安全协议。
签发标准
签发域名验证型证书的认证通常通过Whois记录、DNS记录、电子邮件或网络托管帐户等手段进行。被认证者,即域名持有者,通常需要如下行为之一:[1]
- 回复发送到Whois记录中载明的电子邮件地址的邮件;
- 回复发送到域名对应的常见的管理者邮件地址的邮件,例如admin@或postmaster@等;
- 发布一个DNS TXT记录;
- 通过自动化的证书签发系统发布一个nonce。
域名验证型证书和扩展验证证书的区别在于,认证域名是签发域名验证型证书的唯一要求。特别是,域名验证型证书并不保证任何特定的法律实体关联到该证书,即使可能意味着某一法律实体控制该域名。
用户界面
大多数网络浏览器可能会在地址栏附近显示一个通常是灰色的锁。对于此类证书来讲,并不会显示任何法律实体的名称;与之对比,对于扩展验证证书,由于证书中包含有相应法律实体的名称,则通常会显示为绿色的锁并额外显示该名称。
- Firefox曾经显示域经验证的证书有一个灰色的锁,但是在推出Let's Encrypt后修改为绿色的锁。
- Safari显示一个灰色的锁。
- Microsoft Edge显示一个空心灰色锁。
- Chrome和Chromium目前显示绿色的锁,其计划修改为对此类证书不显示锁而对未加密的页面标记“不安全”。
特点
此类证书对认证的要求较低,因而可以通过无人干预认证系统迅速签发。于是这类证书通常有如下独特的特点:
- 其可用于自动化X.509证书签发系统;
- 其通常是廉价或免费的;
- 其可能未经验证任何文件而签发;
- 其中大多数可以非常迅速地签发。
参考文献
- ^ Issuing Criteria of Domain Validated SSL Certificates (DV SSL)- SSL Retail. [2018-05-21]. (原始内容存档于2020-09-25) (美国英语).