当攻击者操纵互联网路由时，他们有时会欺骗证书颁发机构(CA)为其实际上并不控制的域名颁发证书。多视角颁发验证(MPIC)的设计初衷正是为了防止这种情况：通过从互联网上的多个点验证域名控制权，MPIC为抵御诸如边界网关协议(BGP)劫持等网络级攻击增加了一层至关重要的防御。

但这种新增的保护措施也改变了域名验证的方式——所有使用数字证书的组织都需要了解并做好应对准备。随着MPIC的生效和强制执行期限的临近，各组织需要了解其工作原理以及如何做好准备。

为什么传统验证需要加强

大多数书颁发机构通过检查DNS记录或通过HTTP请求特定文件来验证域名控制权。但这些检查通常来自单个网络位置。虽然在许多情况下这已足够，但这也给攻击者留下了利用互联网路由基础设施漏洞的空间。

如果有人使用BGP劫持或DNS欺骗等手段将流量重定向到自己的服务器，他们就可以拦截或伪造验证响应。对于证书颁发机构(CA)而言，一切看起来都很正常，证书可能会颁发给错误的实体。

MPIC弥补了这一缺陷。证书颁发机构(CA)现在必须从多个独立的网络位置验证域控制权，而不再依赖单一视角。如果所有视角都返回一致的结果，则请求继续进行。否则，流程将停止——这使得攻击者更难实施隐蔽的验证攻击。

MPIC的工作原理

根据CA/浏览器论坛的新规定，颁发TLS或S/MIME证书的证书颁发机构必须使用多个独立的网络视角来验证域名控制。此要求适用于域名控制验证(DCV)和证书颁发机构授权(CAA)检查。

具体流程如下：证书颁发机构(CA)首先在其主基础设施上执行标准验证。然后，它会从其他远程位置重复验证——每个位置运行在不同的网络上，位于不同的地理区域。只有当这些独立验证返回一致的结果时，才能颁发证书。

MPIC适用于所有常见的验证方法，包括：

• 基于DNSCNAME的验证

• 基于HTTP的验证

• 基于DNSTXT的验证

• 基于IP地址的验证

• ACME协议挑战（http-01和dns-01）

每种方法都必须从所有角度产生相同的结果。如果任何一个角度观察到不同的结果，则证书请求将被标记或拒绝。这种冗余机制有助于实时捕获和阻止操纵网络流量的企图。

MPIC实施阶段和时间表

为了让业界有时间适应，CA/浏览器论坛正在分阶段推出MPIC。早期阶段的重点是测试和可观测性，随着时间的推移，执行力度会逐步加大。从2025年9月开始，证书颁发将需要验证，即来自多个独立网络视角的一致验证结果。

以下是推广计划时间表。

2024年9月15日：自愿测试期开始。

2025年3月15日：SSL/TLS验证的初始要求是使用至少2个不同的远程网络视角。

2025年5月15日：要求扩展到使用至少2个视角进行S/MIME证书验证。

2025年9月15日（全面强制执行）：证书颁发机构（例如DigiCert和Sectigo）开始强制执行MPIC检查。如果双方意见不一致，证书颁发将被阻止。

2026年3月15日：要求增加到至少3个远程网络视角，跨越至少2个不同的区域互联网注册局(RIR)区域。

2026年6月15日：要求增加到至少4个远程网络视角。

2026年12月15日：要求增加到至少5个远程网络视角。

除了视角数量之外，规则还规定这些检查必须来自至少两个不同的区域互联网注册管理机构（RIR）区域。MPIC还引入了法定人数模型，允许出现数量有限的相互矛盾的结果，具体数量取决于所使用的视角数量。

使用远程视角 2-5  1

允许的非佐证 6+  2

这种分阶段的方法有助于CA构建所需的基础设施，同时让域名所有者有时间调整系统并解决极端情况问题，然后再全面强制执行。

为多视角验证做好系统准备

为了支持MPIC，您需要确保系统能够处理来自全球多个网络位置的验证请求。如果您的基础架构使用基于IP的限制（例如白名单、防火墙或访问控制列表），您可能在不知不觉中阻止了某些远程检查。

首先，请确认您的验证端点（例如DNS记录或HTTP质询文件）可以从组织核心网络外部访问。这些端点不仅需要能够被您的证书颁发机构(CA)访问，还需要能够被互联网上的其他独立攻击者访问。

如果您使用ACME协议或基于API的工作流程等自动化证书管理工具，MPIC大部分时间会在后台运行。不过，在测试阶段（截至2025年9月14日），建议您检查证书颁发日志。任何远程验证失败都可能指向配置错误，您需要在强制执行生效前进行修复。

您还应该检查负载均衡器和CDN如何处理验证流量。这些系统必须在所有区域提供一致的响应，例如DNS记录或HTTP令牌。如果缓存或传播机制因位置而异，则从不同角度查看时，验证可能会失败。

为MPIC实施做准备

要抢在MPIC之前做好准备，就需要现在采取一些积极主动的措施——以免验证失败导致证书颁发中断。

首先审核您当前的验证设置。查找任何可能阻止或延迟来自多个位置的验证请求的因素，例如严格的网络控制或不一致的DNS行为。

接下来，从主网络外部测试您的验证方法。您可以使用分布式监控工具或第三方服务来模拟系统对来自不同区域的请求的响应。对于基于DNS的方法，请检查更改是否能可靠地传播到所有权威名称服务器，以及您的TTL设置是否允许及时更新。

需要帮助做好MPIC准备吗？

随着行业向MPIC强制执行方向发展，确保您的系统能够支持多视角验证至关重要。如果您不确定自身系统是否符合要求，或者希望确保已获得全面保障，DigiCert可以为您提供帮助。

我们的团队可以提供关于MPIC实施及其对证书生命周期影响的详细指导。借助UltraDNS和DNSMadeEasy等集成DNS和证书解决方案，无论验证来自何处，您都将拥有更强大的基础，从而实现一致且安全的验证。