[发明专利]多年期SSL证书申请时安全验证域名所有权的系统

说明书

本发明涉及一种多年期SSL证书申请时安全验证域名所有权的系统及方法，该系统包括：订单模块：用以接收申请者的证书请求，代理申请者向CA机构发送申请；邮件服务模块：用以向申请者提供用于接收验证邮件的指定唯一邮箱，并接收CA机构发送的验证邮件；自动验证模块：用以自动分析验证邮件服务模块接收到的验证邮件。与现有技术相比，本发明具有自动验证、操作简单、验证安全、保证跨账户验证的安全等优点。

技术领域

本发明涉及数字证书安全验证技术领域，尤其是涉及一种多年期SSL证书申请时安全验证域名所有权的系统及方法。

背景技术

SSL证书作为一种常见的数字证书，由受信任的数字证书机构CA颁发，用于申请者浏览器与网站之间建立加密连接，以保护通讯网络中数据的安全性和私密性。如今各大主流浏览器的厂商对没有安装SSL证书的网站会提示“不安全或危险”，而安装了SSL证书的网站浏览器会显示安全标志，表示连接安全。

企业或个人网站站长在申请SSL证书时，按照行业规则，必须配合CA审查机构完成DCV(域控制验证)来证明对申请绑定的域名具有所有权，目前DCV主要有三种方式可供申请者选择：

(1)DNS验证方式

DNS验证方式又分为DNS TXT和DNS CNAME记录两种类型，不同的记录类型适用于不同的品牌证书，在证书申请时，CA机构会为申请域名生成的一个随机值，申请者需要将该随机值添加到DNS中作为TXT记录或CNAME记录中， CA机构会在线搜索该记录以确认随机值的存在。

(2)文件验证方式

当申请者没有DNS解析权限时，可使用文件验证方式。CA机构同样会为申请域名生成的一个随机值，申请者需要将该随机值写入域名根目录下指定位置的文件内(如，[domain]/.well-known/pki-validation/fileauth.txt)，CA机构会在线审查该文件以确认该随机值。

(3)邮件验证方式

如果选择邮件验证，CA机构则会向申请者发送验证邮件。该邮件会发送到：

i域名WHOIS中列出的3个联系地址以及域名的5个常用系统邮箱地址共计8个固定地址，具体如下：

WHOIS联系地址：

域名注册人(Domain registrant)；

技术联系人(Technical contact)；

行政联系人(Administrative contact)；

五个常用系统邮箱地址：

administrator@your_domain_name；

hostmaster@your_domain_name；

postmaster@your_domain_name；

webmaster@your_domain_name；

admin@your_domain_name；

ii申请者在DNS TXT值中设置的邮箱地址

该验证邮件包含一个带有验证令牌(Token)的链接，CA订单号或域名，申请者可以通过以下两种方式完成验证：

申请者只需打开并单击以上邮件中的任意一个验证链接，来确认对申请绑定的域名具有所有权