域名验证型证书

域名验证型证书(Domain-validated certificate),是一种认证申请人持有的单个域名X.509数字证书。其通常用于传输层安全协议

签发标准

签发域名验证型证书的认证通常通过Whois记录、DNS记录、电子邮件或网络托管帐户等手段进行。被认证者,即域名持有者,通常需要如下行为之一:[1]

  • 回复发送到Whois记录中载明的电子邮件地址的邮件;
  • 回复发送到域名对应的常见的管理者邮件地址的邮件,例如admin@或postmaster@等;
  • 发布一个DNS TXT记录;
  • 通过自动化的证书签发系统发布一个nonce

域名验证型证书和扩展验证证书的区别在于,认证域名是签发域名验证型证书的唯一要求。特别是,域名验证型证书并不保证任何特定的法律实体关联到该证书,即使可能意味着某一法律实体控制该域名。

用户界面

大多数网络浏览器可能会在地址栏附近显示一个通常是灰色的锁。对于此类证书来讲,并不会显示任何法律实体的名称;与之对比,对于扩展验证证书,由于证书中包含有相应法律实体的名称,则通常会显示为绿色的锁并额外显示该名称。

  • Firefox曾经显示域经验证的证书有一个灰色的锁,但是在推出Let's Encrypt后修改为绿色的锁。
  • Safari显示一个灰色的锁。
  • Microsoft Edge显示一个空心灰色锁。
  • ChromeChromium目前显示绿色的锁,其计划修改为对此类证书不显示锁而对未加密的页面标记“不安全”。

特点

此类证书对认证的要求较低,因而可以通过无人干预认证系统迅速签发。于是这类证书通常有如下独特的特点:

  • 其可用于自动化X.509证书签发系统;
  • 其通常是廉价或免费的;
  • 其可能未经验证任何文件而签发;
  • 其中大多数可以非常迅速地签发。

参考文献

  1. ^ Issuing Criteria of Domain Validated SSL Certificates (DV SSL)- SSL Retail. [2018-05-21]. (原始内容存档于2020-09-25) (美国英语).