DV-Zertifikate und die Domainvalidierng per DNS-Eintrag

(3. 10. 2013) Die Zertifizierungsstellen, welche zum Symantec gehören, ermöglichen die Bestellung des DV-Zertifikats per mehrere Validierungsarten zu validieren, einschließlich der Validierung per DNS-Eintrag. Die Funktion ist für alle Bestellungen geeignet, bei denen es nicht möglich ist, sie per die Validierungsmail der Zertifizierungsstelle zu validieren.

Standardvalidierung des DV-zertifikats

Die Standardvalidierung des DV-Zertifikats stellt das Versenden von E-Mails mit einem einmaligen Link an die validierenden Domains dar. Zur Verfügung stehen fünf Mailbox bei der gegebenen Domain und die E-Mailadresse des Domaininhabers, oder die des administrativen Kontakts. Der Antragsteller um das Zertifikat muss eine der Mailboxen admin, administrator, hostmaster, postmaster oder webmaster bei der validierenden Domain aktiviert haben. Eine einzige Alternative stellte bisher das Übersenden der E-Mail von der Zertifizierungsstelle an die E-Mailadresse des administrativen Kontakts oder des Domaininhabers (Kontakte in WHOIS).

Revolution bei der Domainvalidierung

Die Zertifizierungsstellen, welche zum Symantec gehören, kommen mit den neuen Validierungsarten der Domains, der die Alternative zur Standardvalidierung per E-Mail darstellt. Es handelt sich um die Validierung per DNS-Eintrag und die Validierung per Datei auf FTP.

Die Validierungsart, welche sie für Ihre Bestelung benutzen möchten, wählen Sie im Schritt der Zertifikatsbestellung Validierung des Zertifikats und öffentlicher Schlüssel (CSR).

Alternative Validierungsart des DV-Zertifikats

Nachdem Sie das Zertifikat bei der Zertifizierungsstelle beantragt haben, können Sie die Angaben im Detail der Bestellung sehen, welche Sie zur Validierung des Zertifikats per DNS-Eintrag oder Datei auf FTP.

Validierung per DNS

Zur DNS-Validierung ist es nötig, den DNS-Eintrag vom Typ CNAME der zu validierenden Domain in der Zonendatei einzurichten. Diese Möglichkeit finden Sie in der Domainverwaltung Ihres Registrars, wo Sie die DNS-Einträge einstellen können.
Die Angaben zur Einrichtung des CNAME-Eintrags stehen im Detail der Zertifikatsbestellung zur Verfügung und sie sind für jede Bestellung einmalig. Ins DNS speichern Sie die bereits vorbereitete Einträge, welche für Sie dargestellt werden. Das Beispiel für den DNS-Eintrag bei der DNS-Validierung:

s13u5rom85v8m2ok0lg41wlm0holmfqr.sslmarket.ch. 3600 IN CNAME s20130805135212.sslmarket.ch. Der DNS-Eintrag, welcher Sie bei der Domain einstellen können, besteht aus zwei Teilen:

  • - Einmalige Kette mit 32 Zeichen, welche als CNAME-Eintrag (Alias, das die Subdomain auf Hauptdomain zielt) gespeichert wird
  • - Timestamp in Form yyyymmddhhmmss, das in das Feld Ziel eigelegt wird und dahinter kommt der Name der zu validierenden Domain

Die Zertifizierungsstelle überprüft den CNAME-Eintrag im DNS in den regelmäßigen Zeitabschnitten. Sofern der CNAME-Eintrag in Ordnung ist, die Zertifikatsbestellung wird automatisch bestätigt und das SSL-Zertifikat wird automatisch ausgestellt. Sie müssen auf keine Bestätigungsmail mehr warten.

Überprüfung des DNS-Eintrags

Die Verfügbarkeit und die Richtigkeit des neu eingerichteten DNS-Eintrags können Sie auf verschiedene Weise überprüfen. Der Bestandteil des Operationssystems UNIX ist der Programm DIG, der die Frage auf den DNS-Eintrag senden und die Antwort darstellen kann. Der Programm ist aber kein Bestandteil von Windows, deswegen empfehlen wir Webversion des Programms DIG zu benutzen.

In die linke Spalte "Hostnames or IP addresses" schreiben Sie die Subdomain ein, die Sie eingerichtet haben; also einmaligekette.domainname.de. Nachdem Sie auf DIG klicken, können Sie die Antwort auf die DNS-Frage sehen, welche szeitstempel.domainname.de beinhalten muss.
Die Subdomain mit der einzigartigen Kette muss auf die Subdomain zeigen, die mittels Timestamp eingerichtet wird.

Das Beispiel der richtigen und per DIG gewonenne Antwort:
dig +additional s13u5rom85v8m2ok0lg41wlm0holmfqr.sslmarket.ch. @8.8.4.4
; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.6 <<>> +additional s13u5rom85v8m2ok0lg41wlm0holmfqr.sslmarket.ch. @8.8.4.4
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 13209
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;s13u5rom85v8m2ok0lg41wlm0holmfqr.sslmarket.ch. IN A

;; ANSWER SECTION: s13u5rom85v8m2ok0lg41wlm0holmfqr.sslmarket.ch. 3056 IN CNAME s20130805135212.sslmarket.ch.

;; AUTHORITY SECTION:
testwebu.com. 1256 IN SOA ns1.regzone.de. administrator.czechia.de. 2013071303 10800 1800 1814400 3600
;; Query time: 13 msec
;; SERVER: 8.8.4.4#53(8.8.4.4)
;; WHEN: Wed Aug 14 12:08:01 2013
;; MSG SIZE rcvd: 165

Validierung per Datei auf FTP

Die zweite Validierungsart stellt das Einspielen eines einzigartigen Datei auf den FTP-Web. Die zur Validierung bestimmte Datei finden Sie im Detail der Bestellung des SSL-Zertifikats zum Herunterladen. Sein Name und Inhalt werden von der Zertifizierungsstelle gegeben und sie sind für Ihre Bestellung einzigartig.

Die Datei .HTM (Webseite) können Sie in der SSL-Verwaltung herunterladen und spielen Sie sie in den Hauptordner (Root) Ihres Webs (auf FTP). Überprüfen Sie, ob die Datei für Seitenbesucher zugänglich ist und dass sie z.B. von der Datei .htaccess beschränkt wird.

Die Zertifizierungsstelle überprüft die Anwesenheit des Inhaltes automatisch in kurzen Zeitabschnitten. Sofern dieser gefunden wird, bestätigt die Zertifizierungsstelle die Bestellung des DV-Zertifikats und dieses wird ausgestellt.

Validierung per Datei auf FTP ist schnell und einfach

Die Validierung des Zertifikats per DNS verursacht keine Verzüge bei der Ausstellung des Zertifikats. Die Zertifizierungsstelle überprüft es in kurzen Zeitabschnitten und Sie müssen keine Angst haben, dass die Ausstellung des Zertifikats verzögert wird. Bei der Validierung per DNS muss man auf keune Erweiterung der DNS-Einträge warten, die üblicherweise 48 Stunden dauern kann.

Das SSLmarket hat die Validierung möglichst viel vereinfacht, damit Sie keinen DNS-Eintrag oder die Datei zur Validierung einrichten müssen.

Haben Sie Schwierigkeiten mit den alternativen Validierungsarten?

Kontaktieren Sie unseren Kundenservice, dieser hilft Ihnen gerne bei der Validierung des DV-Zertifikats per Datei auf FTP.

Archiv der Neuigkeiten