域名驗證型證書
用戶界面
大多數網絡瀏覽器可能會在地址欄附近顯示一個通常是灰色的鎖。對於此類證書來講,並不會顯示任何法律實體的名稱;與之對比,對於擴展驗證證書,由於證書中包含有相應法律實體的名稱,則通常會顯示為綠色的鎖並額外顯示該名稱。
- 火狐曾經顯示域經驗證的證書有一個灰色的鎖,但是在推出Let's Encrypt後修改為綠色的鎖。
- Safari 顯示一個灰色的鎖。
- Microsoft Edge 顯示一個空心灰色鎖。
- Chrome和Chromium目前 顯示綠色的鎖,其計劃修改為對此類證書不顯示鎖而對未加密的頁面標記「不安全」。
特點
此類證書對認證的要求較低,因而可以通過無人干預認證系統迅速簽發。於是這類證書通常有如下獨特的特點:
- 其可用於自動化X.509證書籤發系統;
- 其通常是廉價或免費的;
- 其可能未經驗證任何文件而簽發;
- 其中大多數可以非常迅速地簽發。
簽發標準
簽發域名驗證型證書的認證通常通過Whois記錄、DNS記錄、電子郵件或網絡託管帳戶等手段進行。被認證者,即域名持有者,通常需要如下行為之一:
- 回復發送到Whois記錄中載明的電子郵件地址的郵件;
- 回復發送到域名對應的常見的管理者郵件地址的郵件,例如admin@或postmaster@等;
- 發布一個 DNS TXT記錄;
- 通過自動化的證書籤發系統發布一個nonce。
域名驗證型證書和擴展驗證證書的區別在於,認證域名是簽發域名驗證型證書的唯一要求。特別是,域名驗證型證書並不保證任何特定的法律實體關聯到該證書,即使可能意味着某一法律實體控制該域名。