域名验证说明
域名验证(Domain Verification)是SSL证书申请的核心环节,通过DNS记录、文件上传或邮箱验证确认域名控制权,其核心目的是防止未经授权的使用,确保只有合法的域名所有者才能申请证书。
一. 为什么要做域名验证
域名验证是SSL证书签发过程中的必要流程之一,主要原因如下:
1. 验证域名管理权
通过对域名添加解析或者文件验证/邮箱验证等方式来获得CA机构对申请者域名管理权限的认可,验证申请者对域名的控制权,防止第三方恶意冒用他人获取证书
2. 防止钓鱼攻击
域名验证流程能有效阻止攻击者伪造合法域名创建钓鱼网站,保护用户免受敏感信息泄露风险
3. 符合安全标准
主流浏览器均要求网站必须使用经过域名验证的SSL证书,否则会被标记为“不安全”网站,验证域名体现了SSL证书的合规性。
二.怎样做域名验证
主要有以下三种方式
1. DNS解析记录验证
登录域名管理平台,在域名的DNS解析中添加CA提供的验证记录值(类型一般为TXT、CNAME)
2. 文件验证
在网站根目录创建指定路径并放置相应内容,具体验证内容由CA提供
3. 邮箱验证
CA 向域名注册时预留的管理员邮箱(如administrator、webmaster、hostmaster、postmaste@domain)发送验证邮件,客户登录邮箱查收验证邮件并点击链接进行确认即可完成域名验证
三.各大证书品牌的域名验证操作
1. Sectigo/Positive/锐安信
- DNS解析:记录类型有CNAME和TXT两种
- 文件验证:仅支持
80/443端口验证 - 邮箱验证:whois邮箱(2025.6.15后不可用)或者管理员邮箱
2. Digicet/Geotrust/Thwate
- DNS解析:类型为TXT,主机记录固定为:
_dnsauth - 文件验证:仅支持
80/443端口验证 - 邮箱验证:管理员邮箱,whois邮箱(2025.5.8之后不可用)
3. CFCA
- DNS解析:类型为TXT
- 文件验证:任意端口
- 邮箱验证:whois邮箱或者管理员邮箱
4. Globalsign
- DNS解析:类型为TXT,主机记录可不填写
- 文件验证:仅支持
80/443端口验证 - 邮箱验证:管理员邮箱
5. Rapid
- DNS解析值默认是子域名,如果想要加在主域名上,解析值需要重新生成。
四.几大平台添加DNS解析
- 请参考:不同平台的DNS解析验证设置