CA/浏览器论坛计划逐步弃用WHOIS验证方式，以提高数字证书的安全性与隐私性。这项改变源于WHOIS信息公开且可能被隐藏，导致基于邮箱的验证失效。新策略包括多方发行验证MPIC和凭证检查Linting，旨在增强安全验证，防止攻击者通过BGP劫持等方式获取非法证书。这些措施将于2025年7月15日生效，标志着数字证书验证方式的重大变革，旨在提升网络安全。

📧 弃用WHOIS验证：CA/浏览器论坛计划在2025年7月15日弃用基于WHOIS的验证方式，包括电子邮件、电话、传真和实体邮件等。此举旨在解决WHOIS信息公开和隐私保护之间的矛盾，特别是当域名所有者隐藏其真实信息时，传统的邮箱验证方式将失效。

🌐 多方发行验证MPIC：为了增强安全性，CA/浏览器论坛引入多方发行验证MPIC机制。MPIC将从多个地理位置或网络服务提供商进行相同的验证，以降低BGP劫持攻击的风险。此前，黑客曾利用BGP劫持欺骗CA获取数字证书，MPIC旨在阻止此类攻击。

✅ 强制凭证检查Linting：从2025年3月15日开始，凭证检查Linting将成为强制性措施。Linting是一个自动化流程，用于分析凭证，防止错误、不一致和不合标准的情况。此前，CA可选凭证检查，强制实施后将有助于减少潜在的错误，提升数字证书的整体质量。

负责制定数字证书签发和验证的行业机构 CA / 浏览器论坛在 2024 年 9 月讨论过 WHOIS 验证申请证书并认为这种方式已经过时，因此当时该机构就提出要直接弃用这种验证方式。CA / 浏览器论坛是由证书颁发机构 (CA)、操作系统开发商、软件开发商、浏览器开发商、安全邮件软件开发商等组成的行业联盟，主要负责制定 TLS/SSL 数字证书的签发、验证和安全政策。

在 2025 年 3 月实施的变化中，CA / 浏览器论坛进行多项变更并且也确实按计划弃用 WHOIS 验证方式从而提高隐私性，WHOIS 是域名注册信息默认是公开的，但基于隐私考虑多数域名都会隐藏真实的 WHOIS 信息。

WHOIS 验证主要靠域名管理员邮箱，隐藏真实信息后实际上无法通过邮箱验证，另外此前还出现过 WHOIS 忘记续费某个 Mobi 域名导致被研究人员注册，该网站收到包括 CA 在内的巨量网站发送的请求，研究人员实际上可以借助该域名欺骗 CA 从而获得数字证书。根据当前计划 WHOIS 验证会在 7 月 15 日生效，届时基于 WHOIS 的电子邮件、电话、传真或实体邮件等验证方式会被彻底弃用，对大多数网站来说这基本不会产生影响。

除了弃用 WHOIS 验证外，这次实施的策略中还包括多方发行验证 MPIC 以及凭证检查 Linting，这两项要求都是用于增强安全验证，避免攻击者通过潜在的弱点申请特定域名的证书。

原本证书申请者通过在网域中添加随机值用于检查，如果检查通过则 CA 默认申请者确实拥有该网站的控制权因此也可以签发证书，但 CA 是通过单一路由检查这个随机值是否添加的。

此前曾发生过黑客通过 BGP 劫持方式用来劫持特定流量，从而欺骗 CA 成功获得数字证书，现在 MPIC 机制则会从多个不同的地理位置或网络服务提供商进行相同的验证，这样可以减低类似的 BGP 劫持攻击。

凭证检查 Linting 是个自动化流程用于分析凭证以及防止错误、不一致和不合标准的情况，以前 CA 可选凭证检查，从 3 月 15 日开始凭证检查变成强制性措施，这可以降低潜在的错误。