从2026年6月1日起，最迟在2026年6月14日，将更新MPIC，要求至少来自两个不同区域互联网注册机构的四个远程网络位置的验证，以符合CA/浏览器论坛MPIC要求的下一阶段。

背景

2025年3月，开始按照CA Browser Forum的要求，从多个网络位置检查域名控制和CAA记录详细信息，为多视角颁发验证(MPIC)的未来阶段做准备。

2025年9月，通过实施MPIC的下一阶段，并强制使用至少两个远程网络位置进行验证，增强了其证书验证和颁发流程。

2026年2月Gworg要求所有主流CA机构，严格要求在至少两个不同的区域互联网注册机构的至少三个远程网络位置进行验证，以符合CA/浏览器论坛MPIC要求的下一阶段。

重要提示：本文内容会不断更新，我们会根据最新信息进行调整。请保存此页面并定期查看以获取最新信息。

从2026年6月1日起，最迟在2026年6月14日，Gworg要求至少来自两个不同区域互联网注册机构的四个远程网络位置的验证，以符合CA/浏览器论坛MPIC要求的下一阶段。

什么是佐证？

验证是指，在确认域名已通过验证并颁发证书之前，必须从多个网络视角返回相同的DNS记录详细信息或网站文件内容。MPIC要求同时适用于域名控制验证(DCV)和证书颁发机构授权(CAA)检查。

使用佐证的好处

这种冗余机制能更有效地抵御安全威胁，有助于捕获并阻止未经授权的数据拦截或篡改行为。对您而言，这意味着更高的安全性，并能更加确信只有授权方才能获取您域名的证书。

MPIC流程是如何运作的？

首先，会从我们的主网络执行标准验证检查。然后，该检查会从其他远程位置重复进行，每个位置位于不同的网络和不同的地理区域。下表概述了验证域名控制权、通过 CAA 检查以及颁发证书所需的验证次数。 

CA/浏览器论坛需要佐证

域控制验证（DCV）

• DNS TXT记录

• DNS CNAME记录

• 发送邮件至DNS TXT联系人

• 发送电子邮件至CAA联系人

• HTTP实际演示

• 域名和IP地址

• 使用唯一文件名进行HTTP实际演示

• ACME HTTP-01

• ACME DNS-01 

上述每种域控制验证(DCV)方法均需满足验证要求。如果验证主网络详细信息的网络位置数量不足，则域验证将失败，且无法颁发证书。这种冗余机制确保只有拥有合法域控制权的用户才能获得相应域的证书。了解更多关于这些域控制验证(DCV)方法的信息。

DNS证书颁发机构授权（CAA）检查

MPIC也适用于执行的CAA记录检查，以确保我们拥有为域名颁发证书的权限。请记住，在颁发TLS/SSL证书或安全电子邮件(S/MIME)证书之前，我们必须检查、处理并遵守域名或电子邮件域的DNS CAA资源记录。了解更多关于DNSCAA资源记录检查的信息。

我需要做什么？

在实施MPIC的每个阶段之前，您几乎不需要做什么。但是，对于HTTP实际演示DCV方法，您可能需要事先做一些准备工作。对于其他DCV方法和CAA检查，这些任务更多地属于故障排除的范畴。
首先审核您当前的验证设置。确认您正在使用哪些数据控制验证(DCV)方法。您使用的是HTTP实际演示、DNS TXT记录还是通过电子邮件联系CAA？

• 如果使用HTTP实际演示，请检查是否存在任何可能阻止或延迟来自多个位置的验证请求的因素，例如严格的网络控制。请参阅下文“将用户代理DCV/1.1和DCVBot/1.1或IP地址添加到允许列表”。

• 如果使用基于DNS的DCV方法，例如DNSTXT记录或通过电子邮件联系DNSTXT联系人，请检查是否存在不一致的DNS行为。请参阅下文“验证DNS记录访问权限”。

将DCV/1.1和DCVBot/1.1用户代理或IP地址添加到您的允许列表中。

如果使用HTTP实际演示DCV方法和允许列表来控制入站流量，则需要采取相应措施。更新允许列表可确保能够访问位于您网站预定位置的包含随机值的.txt文件。

将用户代理或IP地址添加到您的允许列表中：

• 将DCV/1.12和DCVBot/1.1这两个用户代理添加到您的允许列表中。

如果可以，我们建议您将用户代理添加到允许列表中。添加用户代理可以确保您在引入新的IP地址时也能正常访问，因为它们会自动包含MPIC代理使用的所有IP地址。

注意：于2026年2月24日添加了用户代理DCV/1.12。如果您要将用户代理而不是IP地址添加到允许列表中，则必须同时添加这两个用户代理。

• 请将以下MPIC代理IP地址添加到您的允许列表中：

验证DNS记录访问权限

如果您使用以下方法，您的证书颁发流程可能会中断：

• 基于DNS的DCV方法：DNSTXT记录、DNS CNAME记录、向DNS TXT联系人发送电子邮件以及向CAA联系人发送电子邮件

• CAA资源记录：用于控制哪些CA可以为您的域名颁发证书。

您应该检查更改是否能可靠地传播到所有权威名称服务器，以及您的TTL设置是否允许及时更新。

进行这些检查可以帮助确保能够找到您的DNS记录中的随机值或电子邮件联系人，并确认对CAA资源记录的访问权限，从而授权我们为您的域名颁发TLS和S/MIME证书。

排查MPIC验证问题

如果您遇到问题，建议您检查域名的DNS配置，确保其可以从多个地区访问。要检查配置，您可能需要联系您的DNS提供商。