Новости

2026-05-03

Изменения DigiCert с 1 июня 2026 года

Проверка доменов MPIC и обязательная публикация SSL-сертификатов в CT-логах

Информируем клиентов о предстоящих изменениях в процедурах выпуска публичных SSL/TLS-сертификатов DigiCert.

С 1 июня 2026 года DigiCert обновляет процессы проверки доменов при выпуске публичных SSL/TLS-сертификатов. Изменения связаны с новыми требованиями CA/B Forum и политиками Google Chrome Root Program.

Что изменится

1. Расширенная проверка домена MPIC

DigiCert будет выполнять проверку права на домен с использованием большего числа независимых сетевых точек MPIC — Multi-Perspective Issuance Corroboration. Такая проверка снижает риск манипуляций с DNS или маршрутизацией при выпуске сертификата.

Для большинства клиентов это изменение не потребует дополнительных действий. Однако если для домена используются строгие правила firewall, DDoS-защита, DNS-фильтрация, geo-blocking, CAA/DNSSEC или внутренние DNS-серверы, рекомендуем заранее проверить, что DNS и выбранный метод DCV доступны из внешних сетей и разных регионов.

2. Обязательная публикация сертификатов в CT-логах

Все публично доверенные TLS-сертификаты DigiCert, включая новые выпуски, перевыпуски, duplicate-сертификаты и тестовые сертификаты, будут обязательно публиковаться в Certificate Transparency logs.

Certificate Transparency помогает выявлять ошибочно выпущенные или подозрительные сертификаты. Для обычных публичных сайтов это стандартная практика и, как правило, не требует действий со стороны владельца домена.

Важно: если имя сертификата или поддомена не должно отображаться в публичных CT-логах, для таких сервисов рекомендуется использовать private PKI или внутренний центр сертификации, а не публичный SSL/TLS-сертификат.

Кому рекомендуется обратить внимание

банкам, финансовым организациям и корпоративным клиентам со строгими политиками безопасности;
клиентам, использующим собственные DNS-серверы или ограничение доступа к DNS;
клиентам с DDoS-защитой, geo-blocking или DNS/firewall-фильтрами;
клиентам, использующим CAA-записи или DNSSEC;
клиентам, выпускающим сертификаты для служебных, тестовых или чувствительных поддоменов.

Что нужно сделать

Если ваш домен и DNS-инфраструктура доступны из публичной сети без специальных ограничений, дополнительных действий, как правило, не требуется.

Если у вас используются ограничения доступа, рекомендуем заранее проверить:

доступность authoritative DNS-серверов из разных внешних сетей;
корректность ответов DNS по UDP и TCP 53;
отсутствие блокировок по географическому признаку;
корректность CAA-записей, если они используются;
доступность HTTP/DCV-файлов, если применяется файловая проверка домена.

SSL-сертификаты DigiCert в FST

Компания FST продолжает выпуск и сопровождение SSL/TLS-сертификатов DigiCert. При необходимости наша служба поддержки поможет проверить готовность домена к выпуску, перевыпуску или продлению сертификата.