Dział Sprzedaży: +48 789 594 102
Napisz do nasLive Chat Baza Wiedzy Blog
Panel Klienta

Zmiany w walidacji certyfikatów SSL opartej na WHOIS: Co musisz wiedzieć w 2025 roku?

WHOIS SSL
13 lutego 2025  w Aktualności, Bezpieczeństwo

Weryfikacja praw własności domeny (Domain Control Validation, DCV: Jak-wyglada-weryfikacja-praw-wlasnosci-domeny?) to kluczowy etap w procesie wydawania certyfikatów SSL/TLS niezależnie od ich poziomu walidacji (DV, OV czy EV). Od lat wiele metod DCV opierało się na systemie WHOIS, który dostarczał informacji kontaktowych właścicieli domen. Jednak ze względu na rosnące zagrożenia bezpieczeństwa i zmieniające się standardy branżowe, metody oparte na WHOIS są stopniowo wycofywane. W tym artykule omówimy przyczyny nadchodzących zmian, harmonogram ich wprowadzania, alternatywne metody walidacji oraz jaki wpływ ta zmiana będzie miała na proces wydawania certyfikatów SSL.

Tradycyjnie walidacja certyfikatów typu DV (Domain Validation) opierała się m.in. na pozyskiwaniu danych kontaktowych z rejestru WHOIS. Dzięki temu urząd certyfikacji (CA) mógł automatycznie wysłać wiadomość weryfikacyjną na adres e-mail pobrany z bazy WHOIS – najczęściej adresy takie jak webmaster@, admin@, czy hostmaster@. Ta metoda była popularna ze względu na swoją automatyzację i szybkość, jednakże jej skuteczność w obecnych realiach budzi coraz większe wątpliwości.

Dlaczego WHOIS przestaje być używany?

System WHOIS, choć niegdyś niezawodny, stał się podatny na szereg problemów:

  1. Niedostateczna aktualność danych – wiele rekordów WHOIS zawiera nieaktualne informacje, co utrudnia wiarygodną weryfikację.
  2. Podatność na nadużycia – oszuści mogą manipulować danymi WHOIS, aby uzyskać certyfikaty dla domen, nad którymi nie sprawują kontroli.
  3. Regulacje prywatności – wprowadzenie RODO i podobnych przepisów ograniczyło dostępność publicznych danych kontaktowych w WHOIS, utrudniając ich wykorzystanie w procesie DCV.

Te czynniki sprawiły, że CA/Browser Forum – organizacja standaryzująca praktyki certyfikacyjne – podjęła decyzję o całkowitym wycofaniu metod WHOIS do 15 lipca 2025 roku.

Harmonogram zmian

Kluczowe daty dla administratorów i organizacji:

  • 15 stycznia 2025 – Zakończenie wsparcia dla weryfikacji opartej na WHOIS w przypadku domen .nl (Sectigo) i manualnych zapytań WHOIS (DigiCert).
  • 8 maja 2025 – DigiCert przestaje akceptować nowe walidacje WHOIS.
  • 15 czerwca 2025 – Sectigo całkowicie wyłącza wsparcie dla WHOIS.
  • 8 lipca 2025 – DigiCert kończy ponowne wykorzystywanie istniejących walidacji WHOIS.
  • 15 lipca 2025 – Ostateczny termin wycofania WHOIS dla wszystkich wystawców certyfikatów (CA).

Takie rozwiązanie ma na celu zminimalizowanie ryzyka fałszywej walidacji domen oraz zwiększenie ogólnego poziomu bezpieczeństwa w procesie wydawania certyfikatów SSL.

Wpływ zmian na urząd certyfikacji i właścicieli domen

Dla firm wystawiających certyfikaty (CA) oraz właścicieli stron internetowych nadchodzące zmiany oznaczają konieczność dostosowania procedur walidacyjnych. W praktyce:

  • Dla CA: Konieczne będzie zrezygnowanie z automatycznych skryptów pobierających dane WHOIS oraz wprowadzenie mechanizmów walidacji opartych na bezpośrednim potwierdzeniu kontroli nad domeną poprzez email, rekordy DNS TXT lub pliki umieszczane na serwerze.
  • Dla właścicieli domen: Jeśli przy poprzednich zamówieniach certyfikatów wykorzystywano walidację opartą na WHOIS, należy przygotować się do zmiany metody walidacji przy kolejnych wydaniach lub odnawianiu certyfikatów. Najprostszym rozwiązaniem będzie korzystanie z weryfikacji przez predefiniowane adresy e-mail lub dodanie odpowiedniego rekordu TXT w strefie DNS.

Alternatywne metody walidacji domen

Aby uniknąć przerw w działaniu certyfikatów, zaleca się przejście na następujące metody:

Walidacja e-mailowa z predefiniowanych adresów
  • Adresy takie jak admin@domena.pl lub webmaster@domena.pl są uznawane za autoryzowane.
  • Wiadomość weryfikacyjna jest wysyłana bezpośrednio na te skrzynki, co minimalizuje ryzyko przejęcia kontroli przez osoby trzecie.
 Rekordy DNS TXT
  • W strefie DNS domeny dodaje się unikalny rekord TXT dostarczony przez CA.
  • Przykład: _dns-challenge.example.com. IN TXT "ssl-verification=abc123def456"  
  • Metoda ta jest uważana za najbezpieczniejszą, ponieważ wymaga dostępu do panelu DNS.
Weryfikacja plikowa (HTTP/HTTPS)
  • Na serwerze umieszcza się plik w ścieżce /.well-known/pki-validation/, zawierający unikalny token.
  • Przykład: http://example.com/.well-known/pki-validation/8593532A8FA01E6CEBB0B7E85E510D0F.txt  
  • Plik musi być dostępny przez protokoły HTTP/HTTPS bez przekierowań. Metoda ta nie jest dostępna w przypadku certyfikatów Wildcard: Ważna zmiana w weryfikacji certyfikatów SSL wildcard.
Konstruowane adresy e-mail
  • Nowa metoda, w której adres e-mail weryfikacyjny jest generowany na podstawie rekordów DNS (np. contact@domena.pl powiązany z rekordem TXT).

Jak przygotować się do zmian?

  • Aktualizacja procesów walidacji – Przejrzyj istniejące certyfikaty i upewnij się, że nowe zamówienia wykorzystują metody inne niż WHOIS.
  • Monitorowanie terminów – Śledź harmonogramy poszczególnych CA (np. DigiCert, Sectigo) i aktualizuj domeny przed kluczowymi datami.
  • Edukacja zespołu – Przeszkól administratorów w zakresie nowych metod DCV, zwłaszcza konfiguracji rekordów DNS i plików weryfikacyjnych.

Zmiany w walidacji certyfikatów SSL opartej na WHOIS to nie tylko odpowiedź na wykryte zagrożenia, ale także element globalnego trendu zwiększania bezpieczeństwa w Internecie. Wycofanie metod opartej na danych WHOIS, które są podatne na manipulacje oraz ograniczone przez zasady ochrony prywatności, wymusza przejście na bardziej niezawodne metody weryfikacji – takie jak walidacja e-mailowa, DNS czy plikowa. Wdrożenie tych rozwiązań już od początku 2025 roku zapewni, że proces wydawania certyfikatów SSL będzie bardziej odporny na ataki i zgodny z najnowszymi standardami bezpieczeństwa. Przygotowując się na te zmiany, właściciele stron oraz CA powinni już teraz dostosować swoje procedury walidacyjne. Dzięki temu nie tylko zwiększą bezpieczeństwo swoich witryn, ale także podniosą zaufanie użytkowników do swoich usług, co ma kluczowe znaczenie w dobie coraz bardziej wymagających norm bezpieczeństwa.

Masz pytania związane z powyższą zmianą? Skontaktuj się z naszym działem sprzedaży po więcej informacji.

Add A Knowledge Base Question !

You will receive an email when your question will be answered.

+ = Verify Human or Spambot ?