Domain Validation (DV)

- Authentifizierungsanforderungen

Domain Validation (DV) SSL-Zertifikate sorgen für ein hohes Maß an Vertrauen der Verbraucher, indem sie die Verbindung zwischen dem Webbrowser des Kunden und Ihrer Website absichern. Domain Validation (DV) Verifizierungsrichtlinien bieten einen schnellen und effizienten Ablauf zur schnellen Absicherung Ihrer Website.

Trustico® Validation Image

Domain Validated (DV) SSL-Zertifikate sind solche, bei denen eine Zertifizierungsstelle (CA) prüft und bestätigt, dass die Person, die das SSL-Zertifikat erworben hat, auch das Recht besitzt, ein SSL-Zertifikat für den angegebenen Domainnamen zu erwerben. Das SSL-Zertifikat wird dann nur noch mit dem Domainnamen im Zertifikat ausgestellt. Es sind keine Organisations- oder Firmeninformationen enthalten.

Domain Validierte SSL-Zertifikate haben den Vorteil, dass sie in der Regel sofort und ohne die Notwendigkeit, schriftliche Unterlagen einzureichen, ausgestellt werden.

Domain Validated SSL Certificate Produkte werden mit einer von drei Validierungsmethoden authentifiziert :

- Genehmiger E-Mail Domain Control Validation (DCV)
- HTTP / Dateibasierte Domain Control Validation (DCV)
- DNS CNAME basierte Domain Control Validation (DCV)

Aufträge für Großunternehmen, bekannte Marken und Finanzinstitute können für weitere Sicherheitsüberprüfungen vor der Ausgabe in die Warteschlange eingereiht werden.

Im Falle, dass eine Bestellung zur Überprüfung in die Warteschlange gestellt wird, muss der Ansprechpartner der Verwaltung ein Vollzeitmitarbeiter des Unternehmens sein, um eine erfolgreiche Ausstellung zu gewährleisten. Ein Verifizierungstelefonat mit dem administrativen Ansprechpartner kann verlangt werden.

Genehmigte E-Mail Domain Control Validation (DCV)

Wenn Sie sich für den Kauf eines SSL-Zertifikats entschieden haben, wird während des Bestellvorgangs eine E-Mail-Adresse aus einer Auswahlliste mit akzeptablen Auswahlmöglichkeiten gewählt. Wir senden eine E-Mail an die angegebene E-Mail-Adresse mit einem eindeutigen Validierungscode. Außerdem steht Ihnen ein Link zur Verfügung, über den Sie beim Anklicken den Validierungscode eingeben können, um die Domänenkontrolle zu überprüfen. Die folgenden allgemeinen E-Mail-Adressen können derzeit verwendet werden :

- admin@yourdomain.com
- administrator@yourdomain.com
- hostmaster@yourdomain.com
- webmaster@yourdomain.com
- postmaster@yourdomain.com

Die oben aufgezeigten Mail Adressen sind Standart-Adressen. Der Antragsteller des Zertifikats muss eine generische E-Mail Adresse auswählen, um zu Beweisen, dass er den Domainnamen auch wirklich besitzt. Sollte es möglich sein, die E-Mail Adresse von Admin, Registrat, Tech oder Zone aus der WHOIS-Datenbank abzurufen, können wir diese auch verwenden.

Sollten wir während des Bestellvorgangs keine der Mailadressen aus der WHOIS-Datenbank abrufen können, dann wählen Sie bitte eine generische Adresse und kontaktieren Sie uns dann, da es für uns möglich sein kann, Ihre Bestellung manuell mit der Kontakt Mailadresse aus der WHOIS-Datenbank zu aktualisieren.

HTTP / Dateibasierte Domain Control Validierung (DCV)

HTTP-basierte DCV erfordert, dass ein HTTP-Server auf Port 80 oder ein HTTPS-Server auf Port 443 des autorisierten Domainnamen läuft. Wir folgen den CNAMEs, sollten wir HTTP-basierte DCVs durchführen. Wir suchen die Datei in jeder gültigen Autorisierungsdomäne, was bedeutet, dass wir mit dem Fully Qualified Domain Name (FQDN) beginnen und entfernen dann ein oder mehrere Labels von links nach rechts im FQDN und suchen nach der Datei auch in den zwischenliegenden Domänen.

Um Ihre Bestellung mit dieser Authentifizierungsmethoden abzuschließen, müssen Sie eine Vaidierungsdatei auf Ihrer Webseite hochladen. Die Validierungsdatei ermöglicht es unsrem System, Ihre SSL-Zertifikatsbestellung zu authentifizieren. Die Validierungsdatei muss sich in einem bestimmten Verzeichnis befinden.

Um diese Aufgabe erfüllen zu können, muss ein neues Verzeichnis auf der Root-Ebene Ihrer bestehenden Webseite erstellt werden die folgender maßen lautet :

.well-known

Zusätzlich muss in dem neu erstellten Verzeichnis eine neues Verzeichnis erstellt werden, dass folgender maßen lautet :

pki-validation

Sollten Sie eine Bestellung für Ihr SSL-Zertifikat aufgeben wollen, werden zwei Hashes aus dem CSR erstellt, den Sie generiert und bereitgestellt haben. Auf dem HTTP/S-Server des Autorisierungsdomänennamens muss eine einfache Textdatei erstellt werden, mit einem Hash als Dateinamen und einem Hash innerhalb der Textdatei selbst. Wir nennen diese Textdatei das Request Token.

Beispiel: Ein CSR wird mit dem Common Name (CN) als www.yourdomain.com generiert. Der Autorisierungsdomänenname lautet yourdomain.com. Der CSR wird sowohl mit dem MD5 als auch mit dem SHA-256 Hashing-Algorithmus verschlüsselt.

Nachfolgend sehen Sie ein Beispiel für einen erzeugten MD5-Hash und einen SHA-256-Hash, die wir für unsere Beispiele verwenden werden.

- MD5 : C7FBC2039E400C8EF74129EC7DB1842C
- SHA-256 : c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f

Eine Datei muss mit dem MD5-Hash als Dateinamen und .txt als Dateiendung erstellt werden.

Nachfolgend finden Sie ein Beispiel dafür, wie der Pfad der Website aussehen muss :

https://www.yourdomain.com/.well-known/pki-validation/C7FBC2039E400C8EF74129EC7DB1842C.txt

In dieser erstellten Textdatei müssen der SHA-256-Hash und die Domain comodoca.com in der nächsten Zeile hinzugefügt werden.

Nachfolgend ein Beispiel dafür, wie der Inhalt in der Textdatei aussehen soll :

c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f comodoca.com

Sobald der Auftrag empfangen und HTTP-basiertes DCV festgelegt wurde, überprüft das Validierungssystem, ob die Textdatei und der richtige Inhalt auch vorhanden sind. Sollte die Datei gefunden werden und die Hash-Werte übereinstimmen, so ist die Domainkontrolle damit nachgewiesen.

Sobald Ihre aufgegebene Bestellung bearbeitet wird, erhalten Sie eine E-Mail mit den Hash-Werten und Anweisung der Verwendung. Bei HTTP-basiertem DCV enthält Ihre E-Mail einen Anhang, in dem die Datei mit Hashes angehängt ist. Auf diese Weise können Sie die Datei einfach der richtigen Verzeichnisstruktur hinzufügen, wie oben beschrieben.

Sie können auch von Ihrem Trustico®-Konto aus, auf die Hashes und Anweisungen zugreifen. Sie gehen einfach in den Menubereich “View“ und finden dort alle Anweisungen und Hashes.

DNS CNAME basierte Domain Control Validierung (DCV)

DNS CNAME-basierte DCV erfordert die Erstellung eines eindeutigen DNS CNAME-Eintrags, der auf die CA des erworbenen SSL-Zertifikats verweist. Der CNAME wird dann in jeder gültigen Autorisierungsdomäne überprüft, d.h. wir beginnen mit dem Fully Qualified Domain Name (FQDN) und entfernen dann ein oder mehrere Labels von links nach rechts im FQDN und suchen nach dem CNAME in jeder Zwischendomäne.

Als Beispiel : Eine Zertifikatsanfrage für einen FQDN von *.mail.internal.yourdomain.com, wir würden an diesen Stellen nach dem DNS CNAME-Eintrag suchen und für diese Bestellung :

- mail.internal.trustico.com
- internal.trustico.com
- trustico.com

Wenn Sie eine Bestellung für Ihr SSL-Zertifikat aufgeben, werden aus dem CSR, den Sie generiert und bereitgestellt haben, zwei Hashes erstellt. Ein DNS-CNAME-Eintrag muss unter dem Autorisierungsdomänennamen erstellt werden. Wir nennen den Inhalt des DNS-CNAME-Eintrags, Anforderungs-Token.

Beispiel: Ein CSR wird mit dem Common Name (CN) als www.yourdomain.com generiert. Der Autorisierungsdomainname lautet yourdomain.com Der CSR wird sowohl mit dem MD5 als auch mit dem SHA-256 Hashing-Algorithmus verschlüsselt.

Nachfolgend finden Sie ein Beispiel für einen generierten MD5-Hash und einen SHA-256-Hash, die wir für unsere Beispiele verwenden werden.

- MD5 : C7FBC2039E400C8EF74129EC7DB1842C
- SHA-256 : c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f

Um Ihre Bestellung mit dieser Authentifizierungsmethode abzuschließen, müssen Sie Ihren DNS-Servern einen DNS-CNAME-Eintrag hinzufügen, damit unsere Systeme Ihre SSL-Zertifikatsbestellung authentifizieren können.

Ihn der Regel werden Ihre DNS-Einträge von Ihrem Hosting-Provider oder Ihrer Domain-Registrierungsstelle verwaltet. Sollten Sie Zugriff auf Ihre DNS-Einträge haben, müssen Sie den obigen Eintrag hinzufügen, um die Validierungsanforderungen erfolgreich zu erfüllen.

Während des Validierungsvorgangs erhalten Sie eine E-Mail mit Anweisungen, die Ihnen bei der weiteren Verwendung dieser Authentifizierungsmethode helfen wird. Wenn Ihre DNS-Einträge von Ihrem Hosting-Provider oder Ihrer Domain-Registrierung verwaltet werden, können Sie die E-Mail an Ihren Hosting-Provider oder Ihre Domain-Registrierung senden, wenn Sie keinen Zugriff auf Ihre DNS-Einträge haben.

Nachfolgend ein Beispiel dafür, wie der DNS CNAME-Eintrag strukturiert sein muss :

DNS CNAME record : _<MD5 Hash>.yourdomain.com CNAME

DNS CNAME value : <SHA-256 Hash>.[<Unique Value>.]comodoca.com

Bitte beachten Sie :

- Der führende Unterstrich zu Beginn des MD5-Hash, ist notwendig und muss einen Teil des DNS-CNAME-Eintrags enthalten, der von unseren Servern zur Validierung abgeholt wird.
- Der <Unique Value> ist ein optionaler Wert und muss den Validierungsprozess nicht abschließen, es sei denn, Sie möchten, dass ein eindeutiger Wert existiert. Wenn Sie einen eindeutigen Wertteil Ihres DNS CNAME-Eintrags haben möchten, kontaktieren Sie uns bitte, damit wir Ihr Anliegen besprechen können.

Sobald der DNS CNAME-Eintrag erstellt wurde, wird unser System regelmäßig bis zu 30 Tage lang überprüfen, ob der Eintrag zu finden ist. Der DNS CNAME-Eintrag ermöglicht die Authentifizierung Ihrer SSL-Zertifikatsbestellung und die Ausstellung Ihres SSL-Zertifikats.

Um DNS CNAME basierte DCV durchzuführen, haben wir unten ein Beispiel dafür, wie der DNS CNAME Record und der Wert aussehen sollte :

DNS CNAME record : _C7FBC2039E400C8EF74129EC7DB1842C.yourdomain.com CNAME

DNS CNAME Wert (ohne eindeutigen Wert) : c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f.comodoca.com

DNS CNAME Wert (ohne eindeutigen Wert) : c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f.your-unqiue-value.comodoca.com

Die Autorisierungsdomänennamen werden auf das Vorhandensein dieses DNS-CNAME-Eintrags überprüft. Sobald der Eintrag gefunden wurde, ist die Domänenkontrolle nachgewiesen und das Zertifikat Domain Validation (DV) kann ausgestellt werden.

Wenn Ihre Bestellung aufgegeben wurde und bearbeitet wird, erhalten Sie eine E-Mail mit den Hashes und Anweisungen zur Verwendung. Für DNS CNAME-basierte DCV enthält Ihre E-Mail einen Codeblock, der es Ihnen ermöglicht, den Codeblock einfach zu kopieren und in Ihren CNAME-Eintrag einzufügen.

Sie können auch von Ihrem Trustico®-Konto aus auf die Hashes und Anweisungen zugreifen. Sie können Ihre Bestellung einfach im Menubereich “View“ anschauen. Die Anweisungen und Hashes werden dort für Sie verfügbar sein.

Zusätzliche Informationen

Domain Validierte SSL-Zertifikate können mit einer der oben genannten Authentifizierungsmethoden in nur 5 Minuten ausgestellt werden. Einige Domänen können für weitere Validierungsprüfungen zurückgestellt werden, dadurch wird die Domäne in eine Warteschlange gestellt. Wenn Sie glauben, dass Ihre SSL-Zertifikatsbestellung nicht fristgerecht erteilt wird, können Sie sich mit uns in Verbindung setzen. Wir helfen Ihnen dann bei der Abwicklung und/oder Ausstellung Ihrer Bestellung.