CA/浏览器论坛部署新安全要求 多方发行验证/凭证检查和即将弃用WHOIS验证

在 2025 年 3 月实施的变化中，CA / 浏览器论坛进行多项变更并且也确实按计划弃用 WHOIS 验证方式从而提高隐私性，WHOIS 是域名注册信息默认是公开的，但基于隐私考虑多数域名都会隐藏真实的 WHOIS 信息。

WHOIS 验证主要靠域名管理员邮箱，隐藏真实信息后实际上无法通过邮箱验证，另外此前还出现过 WHOIS 忘记续费某个 Mobi 域名导致被研究人员注册，该网站收到包括 CA 在内的巨量网站发送的请求，研究人员实际上可以借助该域名欺骗 CA 从而获得数字证书。根据当前计划 WHOIS 验证会在 7 月 15 日生效，届时基于 WHOIS 的电子邮件、电话、传真或实体邮件等验证方式会被彻底弃用，对大多数网站来说这基本不会产生影响。

除了弃用 WHOIS 验证外，这次实施的策略中还包括多方发行验证 MPIC 以及凭证检查 Linting，这两项要求都是用于增强安全验证，避免攻击者通过潜在的弱点申请特定域名的证书。

原本证书申请者通过在网域中添加随机值用于检查，如果检查通过则 CA 默认申请者确实拥有该网站的控制权因此也可以签发证书，但 CA 是通过单一路由检查这个随机值是否添加的。

此前曾发生过黑客通过 BGP 劫持方式用来劫持特定流量，从而欺骗 CA 成功获得数字证书，现在 MPIC 机制则会从多个不同的地理位置或网络服务提供商进行相同的验证，这样可以减低类似的 BGP 劫持攻击。

凭证检查 Linting 是个自动化流程用于分析凭证以及防止错误、不一致和不合标准的情况，以前 CA 可选凭证检查，从 3 月 15 日开始凭证检查变成强制性措施，这可以降低潜在的错误。