AWS 证书管理器将停止 WHOIS 查询用于电子邮件验证证书
关键要点
AWS 证书管理器ACM将停止使用 WHOIS 查询来验证电子邮件验证证书的域名所有权。从 2024 年 6 月起,ACM 不再通过 WHOIS 查询发送新的电子邮件验证证书的域名验证邮件。从 2024 年 10 月起,将不再向与 WHOIS 查询关联的邮箱发送现有证书的续期验证邮件。强烈推荐使用 DNS 验证,而不是电子邮件验证,以避免潜在的可用性问题。AWS 证书管理器ACM是一项托管服务,可用于配置、管理和部署公网及私网 TLS 证书,以供 Amazon Web Services (AWS) 及您内部的连接资源使用。今天,我们宣布,ACM 将停止通过 WHOIS 查询来验证您请求的电子邮件验证 TLS 证书的域名所有权。
WHOIS 查询通常用于查询指定域名的注册信息,包括域名的原始注册时间、域名所有者的联系信息以及技术和管理联系人的信息。域名所有者在 ACM 外部的 WHOIS 中创建并维护域名注册信息,WHOIS 是一个公开可用的目录,包含由域名注册商和注册机构赞助的域名信息。您可以使用 WHOIS 查询查看注册在 Amazon Route 53 的域名的信息。
从 2024 年 6 月开始,ACM 将不再使用 WHOIS 查询发送新的电子邮件验证证书的域名验证邮件。从 2024 年 10 月开始,ACM 将不再向与 WHOIS 查询相关的邮箱发送现有电子邮件验证证书的续期验证邮件。ACM 将继续向请求域名的五个常见系统地址发送验证邮件,这些地址将在本篇文章的下一部分提供列表。
在本文中,我们将分享有关此变更的重要细节以及您如何准备。请注意,如果您当前使用的是 DNS 验证 来请求 ACM 证书,这一变更不会影响您。此变更仅适用于使用 电子邮件验证 的证书。
一元机场的官方网站背景
当您通过 ACM 请求公共证书时,您需要证明您拥有或控制该域名,才能获得公共证书的颁发。ACM 提供两种选项来验证域名的所有权: DNS 验证 和 电子邮件验证。
AWS 建议在可能的情况下使用 DNS 验证,这样 ACM 可以自动续期从 ACM 请求的证书,而不需您采取任何操作。电子邮件验证是另一种可以用于证明您对该域名的所有权的选项,但您必须通过电子邮件中提供的链接手动验证域名的所有权。下图是 ACM 为 AWS 账户 111122223333 和 AWS 美国西部俄勒冈地区uswest2发送的用于验证 examplecom 域名的示例验证电子邮件。
ACM 如何知道在哪里发送验证邮件?目前,在电子邮件验证流程中,ACM 将 域名验证电子邮件 发送到 WHOIS 数据库中与域名关联的三个联系地址。这些联系地址包括域名注册者、技术联系人和管理联系人。您在 ACM 之外的 WHOIS 数据库内维护域名注册信息,包括这些联系地址。
注意: 如果您使用 Route 53,请参阅 更新域名联系信息 来更新您的域名联系信息。
ACM 还会向每个域名发送到以下五个常见系统地址的验证电子邮件:
administrator@yourdomainnamehostmaster@yourdomainnamepostmaster@yourdomainnamewebmaster@yourdomainnameadmin@yourdomainname要证明您拥有域名,您需要选择这些电子邮件中的验证链接。ACM 还会在证书到期前 45 天发送验证电子邮件到这些相同的地址,以便续订证书。
变更内容
如果您当前使用 电子邮件验证 来请求 ACM 的证书,那么您应关注以下两个重要日期:
从 2024 年 6 月开始,ACM 将不再使用 WHOIS 查询发送新的电子邮件验证证书的域名验证邮件。ACM 将继续在现有证书的续期期间,向三个位于 WHOIS 查询的联系地址发送验证邮件,直到 2024 年 10 月。从 2024 年 10 月开始,ACM 将不再向与 WHOIS 查询关联的邮箱发送现有证书的验证邮件。从此次日期起,ACM 将不再向 WHOIS 查询的三个地址发送新证书或现有证书的验证邮件。ACM 将继续向前述五个常见系统地址发送验证电子邮件。
为什么要进行此变更?
我们之所以进行这一变更,是为了降低 ACM 客户潜在的可用性风险。ACM 颁发的 TLS 证书有效期最长可达 395 天,如果想要继续使用,则需要在到期前进行续订。要续订电子邮件验证证书,您必须批准 ACM 发送的电子邮件。ACM 将在证书续订前 45 天发送第一次续订电子邮件,如果您未对此邮箱进行响应,ACM 将在到期前发送额外提醒。如果某个绑定到您 AWS 资源的证书例如 应用程序负载均衡器到期而未续订,可能会导致您的应用程序出现中断。
一些支持 WHOIS 的域名注册商已经对此数据进行了修改,以支持它们遵守各种隐私法律和推荐实践。在过去的几年中,我们观察到 WHOIS 查询的成功率已降至 5 以下。如果您依赖域名注册商提供的 WHOIS 数据库中的联系地址来验证域名所有权,这可能会带来可用性风险。WHOIS 查询的成功率为 5,这意味着您可能在 95 的时间内收不到续期证书的验证电子邮件。为了在续订证书时提供一个一致的验证域名所有权的机制,ACM 将仅向我们在背景部分列出的五个常见系统地址发送验证电子邮件。
您该如何准备?
如果您当前监控以上提到的五个常见系统地址对于您的域名,您无需采取任何行动。否则,强烈建议您创建新的 DNS 验证证书,而不是创建和使用 电子邮件验证证书。只要 CNAME 设置准确配置,ACM 可以自动续期 DNS 验证证书,无需您采取任何操作。
或者,如果您希望继续使用 电子邮件验证证书,建议您至少监控之前列出的五个常见邮箱地址。ACM 在新的 ACM 发行证书的发放以及现有证书的续订过程中发送验证邮件。您可以使用 ACM describecertificate API 或在 ACM 控制台查看 证书详情,以查看 ACM 是否之前已向相关的系统地址发送了验证邮件。
此外,我们强烈建议您使用 ACM 证书即将到期事件 监控您的证书到期情况,并确保您能够收到关于需要您采取行动以便续期的证书的通知。有关更多指导,请参阅 如何使用 ACM 事件驱动工作流管理证书生命周期。
结论
在这篇博客文章中,我们概述了在请求和续订 ACM 证书时电子邮件验证流程的变更。我们还分享了您可以采取的步骤,以准备这一变更,包括监控至少一个相关域名的邮箱地址。请记住,这些更改仅适用于使用 电子邮件验证 的证书,而不适用于使用 DNS 验证 的证书。关于 AWS 上证书管理的更多信息,请参阅 ACM 文档 或 立即在 AWS 管理控制台中开始使用 ACM。
如果您有任何问题,请联系 AWS 支持 或您的技术客户经理TAM,或在 AWS rePost ACM 论坛 上开启新讨论。如果您对这篇文章有反馈,请在下面的 评论 部分提交意见。
想要获取更多 AWS 安全新闻?在 Twitter 上关注我们。
关于作者
Lerna EkmekciogluLerna 是 AWS 的高级解决方案架构师,帮助客户构建安全、可扩展和高可用的工作负载。她拥有超过 19 年的平台工程经验,包括身份验证系统、分布式缓存和多地区部署等。在空闲时间,她喜欢徒步旅行、观光和后院天文学。
Zach MillerZach 是 AWS 的高级全球安全专家解决方案架构师。他的背景涉及数据保护和安全架构,专注于多种安全领域,包括加密、密钥管理和数据分类。目前,他专注于帮助企业 AWS 客户采用并运用 AWS 安全服务,以提高安全有效性并降低风险。
Georgy SebastianGeorgy 是 AWS Cryptography 的高级软件开发工程师。他在安全系统架构、PKI 管理和密钥分发方面有着丰富的背景。在他的闲暇时间,他是一位业余园丁和爱好者。
Khyati MakimKhyati 是 AWS Cryptography 的软件开发经理,专注于使用加密最佳实践构建安全解决方案。她在金融和零售行业构建安全解决方案方面拥有 25 年的经验,专注于分布式系统。在空闲时间,她喜欢旅游、阅读、绘画,并和家人共度时光。
