管理数字证书颁发的基线要求的几项新变更生效。 证书颁发机构不再允许使用第3.2.2.4节中的方法＃1和＃5来验证域所有权。 或者，按照非专业人员的条款，CA将不再仅仅依靠whois查询和法律意见书来验证域名的所有权。

证书颁发机构/浏览器论坛或CAB论坛是数字证书行业事实上的监管机构。 论坛由主管证书颁发机构和主要浏览器组成，负责确定管理证书颁发的基准要求。

自2015年春季以来，CAB论坛一直在积极致力于改进域验证。正如DigiCert的Tim Hollebeek所说：

关于[域验证]如何完成的机制的要求向来非常模糊和松散。 更糟糕的是，CA被允许使用“任何其他方法”来验证对域名的控制，只要他们认为它至少与列出的方法之一一样安全。 这为CA提供了大量空间，可以在验证证书时偷工减料。

因此，2016年8月5日，Ballot 169获得通过。它正式删除了基线要求的“任何其他方法”部分。希望当时添加的一些新技术步骤将由CA使用，从而确保更强的验证，但大多数CA选择不实施这些新方法，而是继续使用旧方法。

作为回应，在2017年12月，CAB论坛再次着手加强域名验证，这次是通过取消一对被认为不安全的旧验证方法。

2月，Ballot 218获得通过。该选票有效地消除了两种域验证方法：方法＃1，whois查找和方法＃5，法律意见书。修改了这两种方法，使其自2018年8月1日起不再可供证书颁发机构使用。

继续仅使用whois查询或法律意见来验证域名所有权将被视为误发，并且在发现时将被撤销和/或不信任。

坦率地说，这些变化不应该成为大多数CA的主要问题。由于GDPR，whois查询已经受到质疑。目前，ICANN和域名注册商行业正在努力解决如何编辑whois，以及它是否应该公开。 CAB论坛没有等待修复，而是在没有whois和方法＃1的类似查找的情况下继续前进，这也允许将从未用于域验证的证明信和第三方数据库放到首位。

同样，在针对Ballot 218的辩论中，很少有证据表明CA甚至使用方法＃5，即允许律师和会计师写出声明给定域名所有权的信件。 CAB论坛认为这是一个他们没什么资格评估的主题。

值得注意的是，法律意见书对于其他类型的验证仍然有用，特别是因为它与组织和扩展验证ssl证书有关，但作为验证域所有权的手段，已不再允许使用法律意见书。

还有哪些方法可用于验证域名所有权？

仍有许多方法可用于验证证书颁发机构的域所有权：

• CA可以通过电子邮件，传真，SMS或蜗牛邮件发送随机值，然后使用随机值接收确认响应来确认域所有权。
• CA可以通过拨打注册人的电话号码并获得确认申请人的验证请求的响应来确认域名所有权。
• CA可以通过向以下一个或多个预先批准的地址发送电子邮件来确认域名所有权：
• Admin@Domain
• Administrator@Domain
• Webmaster@Domain
• Hostmaster@Domain
• Postmaster@Domain （注意：如果适用，CA还可以向whois列表中的注册人联系人发送验证电子邮件。）
• CA可以通过确认对网站的约定更改来确认域名所有权。
• CA可以通过确认网站的DNS CNAME，TXT或CAA记录中是否存在随机值来确认域所有权。
• CA可以通过确认申请人控制IP地址来确认域名所有权。
• CA可以通过确认网站上是否存在未过期的测试证书来确认域名所有权。
• CA可以通过确认该域中证书中存在随机值来确认域所有权，CA可以通过授权端口上的TLS访问该域。

目前，CAB论坛正在开展工作，以编制CA要求发布证书详细信息中使用的验证方法的要求。有望通过修正这些最常用的验证方法，以降低误签发的几率。