SSLmentor

TLS/SSL certifikáty pro kvalitní HTTPS zabezpečení webových stránek a internetových projektů.

Ověření doménového certifikátu

Domain Validation (DV) certifikáty jsou SSL certifikáty, které lze získat velice snadno a velmi rychle. Díky jednoduchému ověření a plné automatizaci je možné získat nový certifikát během minut a mít zabezpečené www stránky raz-dva-tři.

 DV SSL certifikáty jsou základní SSL certifikáty, které oproti OV a EV SSL certifikátům nevyžadují složité ověřování. Certifikační autorita musí pouze ověřit, že osoba nebo organizace, která žádá o SSL certifikát může s doménou disponovat.

Průběh a validace DV certifikátu

Po objednání, dodání žádosti o certifikát (CSR) a uhrazení se SSL certifikát objedná u certifikační autority, která neprodleně zasílá validační e-mail a po jeho potvrzení autorita certifikát vystavuje. Validaci je možné provést i pomocí FTP nebo DNS (viz. níže).

Objednávka

Po objednání SSL certifikátu a uhrazení je objednávka systémem zkontrolována a pokud je vše v pořádku, je certifikát automaticky objednán u certifikační autority. Objednání certifikátu u autority je oznámeno e-mailem a objednávka získá status: PENDING

Pokud jste obdrželi potvrzení o úhradě, ale objednávka je stále ve stavu uhrazení a nedošlo k objednání u certifikační autority, ověřte, že je vložena žádost o certifkát. Případně si jednoduše žádost o certifikát (CSR) vygenerujte.

Ověření Certifikační autoritou

Validaci žadatele o certifikát provádí Certifikační autorita ve své režii, tj. zasílá validační e-mail, vystavuje a zasílá certifikát.

Validace e-mailem:

Nejjednodušší způsob validace je ověření domény pomocí e-mailu zaslaného na předem vybranou adresu, kde majitel nebo správce domény klikne na odkaz, kde následně potvrdí potvrdí "Approve" žádost o certifikát. Poté je certifikát prakticky hned vydán.

Schránky na které lze validační e-mail zaslat:

  • admin@domenaxyz.cz
  • administrator@domenaxyz.cz
  • webmaster@domenaxyz.cz
  • hostmaster@domenaxyz.cz
  • postmaster@domenaxyz.cz

Nabízené e-maily jsou nastaveny podle pravidel CAB fóra. Validační e-mail musí být vytvořen a funkční. Pokud některý z uvedených e-mailů nemáte, je nutné jej vytvořit a například nastavit jako alias na některý firemní e-mail.

Validační schránky jsou pevně dané pravidly pro ověření domény! NELZE zvolit jinou schránku na doméně, jako například pracovní e-mail petr.novak@domenaxyz.cz. Také není možné použít jakýkoliv free e-mail typu seznam, centrum atd. jelikož se ověřuje doména a tyto e-maily nemají nic s doménou společného.

Ukázka validačního e-mailu CA Comodo
Validační e-mail CA Comodo

Co dělat, když nepřide validační e-mail?

Validační e-mail je zasílán přímo certifikační autoritou neprodleně po objednání certifikátu u autority (CA Comodo zasílá e-mail z adresy noreply_support@comodo.com). Může se stát, že ještě není adresa e-mailu k dispozici nebo je potřeba provést změnu na jiný z 5 nabízených. Může také selhat nastavené přeposlání e-mailu nebo není e-mail doručen z důvodu nastavení přísné politiky ochrany před spamy.

Validační e-mail lze kdykoliv před vystavením certifikátu zaslat znovu. Přeposlání se provádí v Administraci: Detail certifikátu -> Informace o objednávce -> Typ validace: -> Upravit -> Přeposlat. Zde je také možné e-mail změnit a nastavit jiný.

 

Upozornění: Pokud validační e-mail nelze přijmout ani po vícenásobných pokusech, zkontrolujte si název domény, zda nedošlo k překlepu při objednávání. Je také možné, že váš poskytovatel má nastavené antispamové filtry tak, že jsou e-maily od zahraniční autority odmítány. V tom případě je nutné kontaktovat vašeho poskytovatele elektronické pošty nebo zvážit využití alternativní validace.

Vystavení certifikátu

Jakmile dojde k potvrzení validačního e-mailu, je certifikát během minut vystaven a zaslán na vyplněný kontakt v objednávce.

E-mail obsahuje ocertifikovaný veřejný klíč a mezilehlé certifikáty autority, pro zajistění důvěryhodnosti certifikátu. Spolu s privátním klíčem se vše vkládá na server.


Alternativní metody ověření

Pokud nelze ověřit majitele domény pomocí e-mailu, existují další dva způsoby, jak provést validaci domény.

File-Based Authentication (FTP validace)

Certifikační autorita ověřuje doménu pomocí TXT souboru umístěného do diskového prostoru domény. Veřejně dostupný soubor obsahuje textový řetězec (token), který je nutné nahrát do adresáře /.well-known/pki-validation/ webových stránek. Certifikační autorita ověří jeho existenci a tím i validuje, že žadatel má přístup k doméně a má právo s doménou disponovat. Každá žádost má vždy vlastní textové řetězce, které jsou uvedeny u detailu objednávky a zaslány e-mailem. Níže uvedené řetězce jsou pouze pro ukázku.

Ukázka FTP validace RapidSSL certifikátu
Název souboru: fileauth.txt
Cesta k souboru: http://domenaxyz.cz/.well-known/pki-validation/fileauth.txt

Obsah souboru (token):
8CC79447A5MTg4MzY1MA2#!cm5ywz5m1lzoyfp2xhy7

Textový soubor obsahuje pouze token, bez jakýchkoliv dalších informací.
Ukázka FTP validace Sectigo PositiveSSL certifikátu (dříve Comodo)
Název souboru: 048B0565E245687S52C7801EA7D4B954F3.txt
Cesta k souboru: http://domenaxyz.cz/.well-known/pki-validation/048B0565E245687S52C7801EA7D4B954F3.txt

Obsah souboru:
141A63FD5637E4524954SDAB4B2C0B4DBD0CCFABD5379DF821F5F01B3B69116993
COMODOCA.COM
t0211231001361667854

Všechny vložené parametry musí být na samostatných řádcích!

Upozornění: Ověřovací soubour musí být přístupný na adrese bez "www". A to i v případě žádosti o certifikát pro doménu s "www", tedy například www.domenaxyz.cz.
V případě validace certifikátu CA Sectigo musí být informace v souboru oddělené na samostatných řádcích!

Ověření zda je záznam dostupný se provede jednoduchou kontrolou pomocí vložení adresy do prohlížeče, kde se musí validační informace zobrazit.

DNS validace

Nastavení DNS záznamů domény se provádí většinou u poskytovatele hostingu nebo registrátora domény. Certifikační autorita vygeneruje unikátní řetězec, který se vloží do DNS jako TXT záznam. Jakmile se rozšíří nový obsah DNS, certifikační autorita záznam zkontroluje a pokud je v pořádku, vydá k doméně certifikát.

Ukázka DNS validace Sectigo (Comodo) certifikátu
DNS TXT record: d3pyrjg65d8hh1bv0tgr4bx890yksq8j

Upozornění: I při žádosti o certifikát pro doménu www.domenaxyz.cz musí být TXT záznam dostupný v DNS na doméně bez "www".

Ověření, zda je záznam k dispozici je možné zjistit online pomocí webu digwebinterface.com nebo whatsmydns.net.

SSLmentor doporučuje

DV SSL certifikáty

Plnohodnotné zajištění HTTPS komunikace je možné i s nejlevnějšími SSL certifikáty, které zabezpečí bez problému komunikaci mezi serverem a prohlížečem a mohou být nasazeny na jakékoliv firemní i osobní webové stránky a projekty. Doporučujeme PositiveSSL nebo RapidSSL.