Domain-validiertes SSL-Zertifikat

Domain Validation (DV)-Zertifikate sind SSL-Zertifikate, die sehr einfach und sehr schnell erworben werden können. Dank einfacher Verifizierung und vollständiger Automatisierung ist es möglich, innerhalb von Minuten ein neues Zertifikat zu erhalten und eine sichere Website eins-zwei-drei zu haben.
Auch wenn Domain-SSL-Zertifikate sehr günstig sind, sind sie doch sehr günstig Gewährleistung einer qualitativ hochwertigen https-Kommunikation ohne Probleme.

So funktioniert die Domänenvalidierung

Nach Bestellung, Einfügen des Zertifikatsantrags (CSR) und Bezahlung wird das SSL-Zertifikat bei der Zertifizierungsstelle bestellt, die sofort eine Validierungs-E-Mail versendet. Nach ihrer Bestätigung stellt die Behörde das Zertifikat aus. Die Validierung kann auch über FTP oder DNS durchgeführt werden (siehe unten).

Die Bestellung

Nach Bestellung des SSL-Zertifikats und Bezahlung wird die Bestellung vom System geprüft und wenn alles in Ordnung ist, wird das Zertifikat automatisch bei der Zertifizierungsstelle bestellt. Die Bestellung eines Zertifikats bei der Behörde wird per E-Mail angekündigt und die Bestellung erhält den Status: PENDING

Wenn Sie eine Zahlungsbestätigung erhalten haben, sich die Bestellung jedoch noch im Zahlungsstatus befindet und die Bestellung nicht an die Zertifizierungsstelle gesendet wurde, überprüfen Sie, ob die Zertifikatsanforderung übermittelt wurde. Alternativ können Sie einfach eine Zertifikatanforderung (CSR).

Verifizierung durch eine Zertifizierungsstelle

Die Validierung des Zertifikatsantragstellers erfolgt durch die Zertifizierungsstelle, dh sie versendet eine Validierungs-E-Mail, stellt das Zertifikat aus und versendet es.

E-Mail-Validierung:

Der einfachste Weg zur Validierung besteht darin, die Domäne mithilfe einer E-Mail zu verifizieren, die an eine vorausgewählte Adresse gesendet wird, wo der Eigentümer oder Administrator der Domäne auf den Link klickt, wo er dann die Zertifikatsanforderung „Genehmigen“ bestätigt. Danach wird das Zertifikat fast sofort ausgestellt.

Postfächer, an die eine Bestätigungs-E-Mail gesendet werden kann:

• admin@example.net
• administrator@example.net
• webmaster@example.net
• hostmaster@example.net
• postmaster@example.net

Die angebotenen E-Mails werden nach den Regeln des CAB-Forums gesetzt. Die Validierungs-E-Mail muss erstellt und funktionsfähig sein. Wenn Sie keine dieser E-Mails haben, müssen Sie diese erstellen und beispielsweise als Alias ​​für eine Firmen-E-Mail festlegen.

Beispiel einer CA Sectigo-Validierungs-E-Mail:

Was tun, wenn die Bestätigungs-E-Mail nicht angekommen ist?

Die Validierungs-E-Mail wird unmittelbar nach der Bestellung des Zertifikats bei der Zertifizierungsstelle direkt an die Zertifizierungsstelle gesendet (CA Sectigo sendet eine E-Mail von noreply_support@comodo.com). Die E-Mail-Adresse ist möglicherweise noch nicht verfügbar oder Sie müssen sie möglicherweise auf weitere 4 E-Mail-Adressen ändern. Die E-Mail-Weiterleitungseinstellungen können ebenfalls fehlschlagen oder E-Mails werden aufgrund einer strengen Spam-Schutzrichtlinie möglicherweise nicht zugestellt.

Die Validierungs-E-Mail kann vor Ausstellung des Zertifikats jederzeit erneut versendet werden. Die Weiterleitung erfolgt im Control Panel: SSL Order Detail -> Order information -> Validierungsmethode: -> Bearbeiten -> Neu senden. Hier ist es auch möglich die E-Mail zu ändern und eine andere einzustellen.

Wichtig: Wenn die Bestätigungs-E-Mail nach mehreren Versuchen nicht empfangen werden kann, überprüfen Sie den Domainnamen bei der Bestellung auf Tippfehler. Es ist auch möglich, dass Ihr Provider Anti-Spam-Filter eingerichtet hat, sodass E-Mails von einer ausländischen Behörde abgewiesen werden. In diesem Fall müssen Sie sich an Ihren E-Mail-Anbieter wenden oder eine alternative Validierung in Betracht ziehen.

Ausstellung eines Zertifikats

Sobald die Validierungs-E-Mail bestätigt ist, wird das Zertifikat innerhalb weniger Minuten ausgestellt und an den ausgefüllten Kontakt im Auftrag gesendet.
Die E-Mail enthält einen zertifizierten öffentlichen Schlüssel und Zertifikate zwischengeschalteter Stellen, um die Vertrauenswürdigkeit des Zertifikats sicherzustellen. Alles wird zusammen mit dem privaten Schlüssel auf den Server hochgeladen.
 

---

Alternative Überprüfungsmethoden

Wenn Sie den Domaininhaber nicht per E-Mail bestätigen können, gibt es zwei andere Möglichkeiten, die Domain zu validieren.

Dateibasierte Authentifizierung (FTP-Validierung)

Die Zertifizierungsstelle authentifiziert die Domäne mithilfe einer TXT-Datei, die sich im Speicherplatz der Domäne befindet. Die öffentlich verfügbare Datei enthält eine Textzeichenfolge (Token), die in das Websiteverzeichnis /.well-known/pki-validation/ hochgeladen werden muss. Die Zertifizierungsstelle verifiziert deren Existenz und bestätigt damit, dass der Antragsteller Zugriff auf die Domain hat und über die Domain verfügen kann. Jede Anfrage hat immer einen eigenen Textstring, der neben dem Bestelldetail aufgelistet und per E-Mail verschickt wird. Die folgenden Zeichenfolgen dienen nur zur Veranschaulichung.

Hinweis: Ab November 2021 ist es nicht möglich, WildCard-SSL-Zertifikate per FTP-Validierung zu verifizieren. Nur DNS.

Beispiel für die FTP-Validierung des RapidSSL-Zertifikats

Name of file: fileauth.txt
Path to the file: http://example.net/.well-known/pki-validation/fileauth.txt

Content (token):
8CC79447A5MTg4MzY1MA2#!cm5ywz5m1lzoyfp2xhy7

The text file contains only the token, without any other information.


Example of FTP validation of Sectigo PositiveSSL certificate

Name of file: 048B0565E245687S52C7801EA7D4B954F3.txt
Path to the file: http://example.net/.well-known/pki-validation/048B0565E245687S52C7801EA7D4B954F3.txt

Content:
141A63FD5637E4524954SDAB4B2C0B4DBD0CCFABD5379DF821F5F01B3B69116993
COMODOCA.COM
t0211231001361667854

All entered parameters must be on separate lines!


Wichtig: Die Authentifizierungsdatei muss unter einer Adresse ohne "www" erreichbar sein. Auch bei einer Zertifikatsanfrage für eine Domain mit "www", zB www.example.net.

Die Überprüfung, ob der Datensatz verfügbar ist, erfolgt durch eine einfache Überprüfung durch Eingabe der Adresse in den Browser, wo die Validierungsinformationen angezeigt werden müssen.

DNS-Validierung

Domain-DNS-Einträge werden normalerweise von Ihrem Hosting-Provider oder Domain-Registrar eingerichtet. Die Zertifizierungsstelle generiert einen eindeutigen String, der als TXT-Eintrag in das DNS eingefügt oder der CNAME gesetzt wird. Wenn sich neue DNS-Inhalte verbreiten, überprüft die Zertifizierungsstelle den Eintrag und stellt der Domain ein Zertifikat aus, wenn er in Ordnung ist.

Beispiel für DNS-Validierung mit TXT-Eintrag

DNS TXT record: d3pyrjg65d8hh1bv0tgr4bx890yksq8j

Beispiel für die DNS-Validierung mit einem CNAME-Eintrag

DNS CNAME record: _cfd00c1ec2d56372b27b9562f5da83d0.example.net CNAME
cb3a889855882c6518c0ac959be30067.e8349bfb8ec9a0334864d9bf350a1188.t0119001001421510849.comodoca.com

Wichtig: Auch wenn Sie ein Zertifikat für die Domain www.example.net anfordern, muss der TXT-Eintrag im DNS auf der Domain ohne „www“ vorhanden sein.

Die Überprüfung, ob der Datensatz verfügbar ist, finden Sie online unter digwebinterface.com oder whatsmydns.net.

---

Wohin als nächstes?

• Wie das Unternehmen verifiziert wird (OV+EV-Zertifikate)
• So erstellen Sie eine Certificate Signing Request (CSR)
• Zertifikatsformate (PEM, KEY, CSR, PFX, ...)
• Was ist SSL Certificate REISSUE