SSLmentor

SSL/TLS certifikáty pro kvalitní HTTPS zabezpečení webových stránek a internetových projektů.

Ověření doménového certifikátu

Domain Validation (DV) certifikáty jsou SSL certifikáty, které lze získat velice snadno a velmi rychle. Díky jednoduchému ověření a plné automatizaci je možné získat nový certifikát během minut a mít zabezpečené www stránky raz-dva-tři.

Průběh a validace DV certifikátu

DV SSL certifikáty jsou základní SSL certifikáty, které oproti OV a EV SSL certifikátům nevyžadují složité ověřování. Certifikační autorita musí pouze ověřit, že osoba nebo organizace, která žádá o SSL certifikát, vlastní registrovanou doménu a může s doménou disponovat.

Objednávka

Po objednání SSL certifikátu a uhrazení je objednávka systémem zkontrolována a pokud je vše v pořádku, je certifikát automaticky objednán u certifikační autority. Objednání certifikátu u autority je oznámeno e-mailem a objednávka získá status: PENDING

Pokud jste obdrželi potvrzení o úhradě, ale objednávka je stále ve stavu uhrazení a nedošlo k objednání u certifikační autority, ověřte, že je vložena žádost o certifkát. Případně si jednoduše žádost o certifikát (CSR) vygenerujte.

Ověření Certifikační autoritou

Validaci žadatele o certifikát provádí Certifikační autorita ve své režii, tj. zasílá validační e-mail, vystavuje a zasílá certifikát.

Validace e-mailem:

Nejjednodušší způsob validace je ověření domény pomocí e-mailu zaslaného na předem vybranou adresu, kde majitel nebo správce domény klikne na odkaz, kde následně potvrdí potvrdí "Approve" žádost o certifikát. Poté je certifikát prakticky hned vydán.

  • admin@domenaxyz.cz
  • administrator@domenaxyz.cz
  • webmaster@domenaxyz.cz
  • hostmaster@domenaxyz.cz
  • postmaster@domenaxyz.cz

Nabízené e-maily jsou nastaveny podle pravidel CAB fóra. Validační e-mail musí být vytvořen a funkční. Pokud některý z uvedených e-mailů nemáte, je nutné jej vytvořit a například nastavit jako alias na některý firemní e-mail.

Ukázka validačního e-mailu CA Comodo
Validační e-mail CA Comodo

Co dělat, když nepřide validační e-mail?

Validační e-mail je zasílán přímo certifikační autoritou neprodleně po objednání certifikátu u autority (CA Comodo zasílá e-mail z adresy noreply_support@comodo.com). Může se stát, že ještě není adresa e-mailu k dispozici nebo je potřeba provést změnu na jiný z 5 nabízených. Může také selhat nastavené přeposlání e-mailu nebo není e-mail doručen z důvodu nastavení přísné politiky ochrany před spamy.

Validační e-mail lze kdykoliv před vystavením certifikátu zaslat znovu. Přeposlání se provádí v Administraci: Detail certifikátu -> Informace o objednávce -> Typ validace: -> Upravit -> Přeposlat. Zde je také možné e-mail změnit a nastavit jiný.

 

Upozornění: Pokud validační e-mail nelze přijmout ani po vícenásobných pokusech, zkontrolujte si název domény, zda nedošlo k překlepu při objednávání. Je také možné, že váš poskytovatel má nastavené antispamové filtry tak, že jsou e-maily od zahraniční autority odmítány. V tom případě je nutné kontaktovat vašeho poskytovatele elektronické pošty nebo zvážit využití alternativní validace.

Vystavení certifikátu

Jakmile dojde k potvrzení validačního e-mailu, je certifikát během minut vystaven a zaslán na vyplněný technický kontakt v objednávce.

E-mail obsahuje ocertifikovaný veřejný klíč a mezilehlé certifikáty autority, pro zajistění důvěryhodnosti certifikátu. Spolu s privátním klíčem se vše vkládá na server.


Alternativní metody ověření

Pokud nelze ověřit majitele domény pomocí e-mailu, existují další dva způsoby, jak provést validaci domény.

File-Based Authentication (FTP validace)

Certifikační autorita ověřuje doménu pomocí TXT souboru umístěného do diskového prostoru domény. Veřejně dostupný soubor obsahuje textový řetězec (token), který je nutné nahrát do adresáře /.well-known/pki-validation/ webových stránek. Certifikační autorita ověří jeho existenci a tím i validuje, že žadatel má přístup k doméně a má právo s doménou disponovat. Každá žádost má vždy vlastní textové řetězce, které jsou uvedeny u detailu objednávky a zaslány e-mailem. Níže uvedené řetězce jsou pouze pro ukázku.

Ukázka FTP validace RapidSSL certifikátu
Název souboru: fileauth.txt
Cesta k souboru: http://domenaxyz.cz/.well-known/pki-validation/fileauth.txt
Obsah souboru (token):
8CC79447A5MTg4MzY1MA2#!cm5ywz5m1lzoyfp2xhy7
Textový soubor obsahuje pouze token, bez jakýchkoliv dalších informací.
Ukázka FTP validace Sectigo PositiveSSL certifikátu (dříve Comodo)
Název souboru: 048B0565E245687S52C7801EA7D4B954F3.txt
Cesta k souboru: http://domenaxyz.cz/.well-known/pki-validation/048B0565E245687S52C7801EA7D4B954F3.txt
Obsah souboru:
141A63FD5637E4524954SDAB4B2C0B4DBD0CCFABD5379DF821F5F01B3B69116993
COMODOCA.COM
t0211231001361667854
Informace musí být odděleně na samostatných řádcích.

DNS validace

Certifikační autorita vygeneruje unikátních řetězce, které se vloží do DNS záznamu domény jako CNAME nebo jako TXT záznam. Po rozšíření DNS může CA záznamy zkontrolovat a pokud jsou v pořádku, vydá certifikát k doméně.

DNS CNAME record: _cfd00c1ec2d56372b27b9562f5da83d0.domenaxyz.cz CNAME
cb3a889855882c6518c0ac959be30067.e8349bfb8ec9a0334864d9bf350a1188.t0119001001421510849.comodoca.com
SSLmentor doporučuje

DV SSL certifikáty

Plnohodnotné zabezpečení HTTPS komunikace je možné i s nejlevnějšími DV SSL certifikáty, které zabezpečí bez problému komunikaci mezi serverem a prohlížečem a mohou být nasazeny na jakékoliv firemní i osobní webové stránky a projekty.