Domainvarmennus (Domain Validation, DV)

- Todennusvaatimukset

Domainvarmennetut SSL-sertifikaatit luovat korkeaa asiakasluottamusta suojaamalla asiakkaan verkkoselaimen ja verkkosivusi välisen yhteyden. Domainvarmennuksen ohjesäännöt mahdollistavat verkkosivun suojaamisen nopeasti ja tehokkaasti.

Trustico® Validation Image

Domainvarmennetuissa SSL-sertifikaateissa varmenteen myöntäjä (Certificate Authority, CA) varmistaa, että SSL-sertifikaatin ostajalla on oikeus ostaa sertifikaatti määrittelemälleen verkkotunnukselle. Tämän jälkeen myönnetään SSL-sertifikaatti, joka sisältää vain verkkotunnuksen. Siihen ei sisälly tietoa yrityksestä.

Domainvarmennettujen SSL-sertifikaattien etu on se, että ne myönnetään lähes välittömästi eikä niiden eteen tarvitse tehdä paperityötä.

Domainvarmennetut SSL-sertifikaatit todennetaan yhdellä kolmesta varmennustavasta :

- Verkkotunnuksen hallinnoinnin todentaminen (Domain Control Validation, DCV) sähköpostitse
- HTTP/tiedostopohjainen todentaminen (DCV)
- DNS-pohjainen todentaminen (DCV)

Suurten yritysten, tunnettujen tavaramerkkien ja rahoituslaitosten tilaukset saatetaan ohjata tarkempaan turvallisuusarviointiin ennen tuotteen myöntämistä.

Kun tilaus odottaa arviointia, asiakaskontaktimme pitää olla yrityksen täysipäiväinen työntekijä, jolla on hallinnollisia oikeuksia, jotta varmenne voidaan myöntää. Saatamme vaatia myös varmistuspuhelun kontaktihenkilön kanssa.

Verkkotunnuksen hallinnoinnin todentaminen (DCV) sähköpostitse

Kun päätät ostaa SSL-sertifikaatin, sinun täytyy tilausprosessin aikana valita sähköpostiosoite hyväksyttävien vaihtoehtojen listalta. Lähetämme valittuun osoitteeseen sähköpostiviestin, joka sisältää vahvistuskoodin. Viestiin kuuluu myös linkki, jota klikkaamalla pääsee syöttämään koodin verkkosivulle ja näin todistamaan verkkotunnuksen hallinnoinnin. Tällä hetkellä voidaan käyttää seuraavanlaisia geneerisiä sähköpostiosoitteita :

- admin@verkkotunnuksesi.com
- administrator@verkkotunnuksesi.com
- hostmaster@verkkotunnuksesi.com
- webmaster@verkkotunnuksesi.com
- postmaster@verkkotunnuksesi.com

Nämä ovat geneerisiä sähköpostiosoitteita. Hakijoiden täytyy valita geneerinen sähköpostiosoite osoittaakseen, että he hallitsevat verkkotunnusta, jolle SSL-sertifikaattia ostetaan. Jos pystymme löytämään esimerkiksi järjestelmänvalvojan, rekisteröijän tai teknikon sähköpostiosoitteen WHOIS-tietokannasta, myös sitä voidaan käyttää.

Jos emme tilausprosessin aikana pysty löytämään tällaista sähköpostiosoitetta WHOIS-tietokannasta, ole hyvä ja valitse geneerinen sähköpostiosoite ja ota meihin yhteyttä, sillä saatamme pystyä päivittämään tilauksen manuaalisesti.

HTTP-pohjainen todentaminen vaatii sitä, että HTTP-palvelinta ajetaan portissa 80, tai että HTTPS-palvelinta ajetaan portissa 443. Kun suoritamme HTTP-pohjaista todennusta, seuraamme CNAME-tietueita. Etsimme tiedostoa jokaisesta relevantista verkkotunnuksesta, eli aloitamme FQDN:stä (Fully Qualified Domain Name) ja alamme sitten poistaa lisämääritteitä sen molemmilta puolilta ja etsiä tiedostoa kaikilta alasivuilta.

Suorittaaksesi tilauksesi tällä todennusmetodilla sinun täytyy asentaa verkkosivullesi validointitiedosto. Tiedoston avulla järjestelmämme voivat todentaa SSL-sertifikaattitilauksesi. Tiedoston tulee sijaita tietyssä hakemistossa.

Tehdäksesi tämän sinun täytyy luoda uusi hakemisto verkkosivusi tiedostorakenteen juuritasolle ja nimetä se seuraavasti :

.well-known

Tämän uuden hakemiston sisälle pitää lisäksi luoda toinen hakemisto, joka nimetään seuraavasti :

pki-validation

Kun teet SSL-sertifikaattitilaustasi, lähettämästäsi CSR-tiedostosta luodaan kaksi hash-tiedostoa. Verkkotunnuksesi HTTP/S-palvelimelle täytyy luoda tekstitiedosto, siten, että yksi hasheista on tiedoston nimi ja toinen niistä sen sisältö. Viittaamme tähän tiedostoon nimellä ”Request Token.”

Esimerkki: CSR-tiedosto luodaan, ja sen Common Name (CN) on www.verkkotunnuksesi.com. Verkkotunnus, jota käytämme todentamisessa tilausprosessin aikana, on verkkotunnuksesi.com. CSR-tiedostosta tehdään hash-tiedostot sekä MD5- että SHA-256-algoritmeilla.

Alla on esimerkit generoiduista MD5- ja SHA-256-hasheista, joita tulemme käyttämään esimerkeissämme.

- MD5 : C7FBC2039E400C8EF74129EC7DB1842C
- SHA-256 : c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f

Sinun täytyy luoda tiedosto, jonka tiedostonimi on MD5-hashin mukainen ja jonka pääte on .txt.

Alla on esimerkki siitä, miltä tiedostosijainnin tulee näyttää verkkosivulla :

https://www.verkkotunnuksesi.com/.well-known/pki-validation/C7FBC2039E400C8EF74129EC7DB1842C.txt

Tämän tekstitiedoston sisältä täytyy löytyä SHA-256-hash ja verkkotunnus comodoca.com.

Alla on esimerkki siitä, miltä tekstitiedoston sisällön tulee näyttää :

c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f comodoca.com

Kun tilaus on vastaanotettu ja HTTP-pohjainen todentaminen on valittu, varmennusjärjestelmä etsii tekstitiedostoa ja sen sisältöä. Jos tiedosto löytyy ja hash-arvot täsmäävät, verkkotunnuksen hallinnointi on todistettu.

Kun tilauksesi on tehty ja sitä käsitellään, saat sähköpostiviestin, joka sisältää hashit ja ohjeet niiden käyttämisestä. HTTP-pohjaista todentamista suoritettaessa sähköpostiviestisi liitteenä on tiedosto, johon hashit on lisätty valmiiksi. Näin sinun tarvitsee vain lisätä tiedosto oikeaan tiedostosijaintiin yllä mainitulla tavalla.

Pääset käsiksi hasheihin ja ohjeisiin myös omalla Trustico®-tililläsi. Voit yksinkertaisesti katsoa tilaustasi, ja ohjeet ja hashit löytyvät sieltä.

DNS-pohjainen todentaminen (DCV)

DNS-pohjainen todentaminen vaatii DNS CNAME -tietueen luomista. Tietueen tulee viitata ostetun SSL-sertifikaatin CA:han. CNAME tarkistetaan jokaisella relevantilla verkkotunnuksella, eli aloitamme FQDN:stä (Fully Qualified Domain Name) ja alamme sitten poistaa lisämääritteitä sen molemmilta puolilta ja etsiä tiedostoa kaikilta alasivuilta.

Esimerkki: Sertifikaattia pyydetään FQDN:lle *.mail.internal.verkkotunnuksesi.com. DNS CNAME -tietuetta etsitään näistä paikoista ja tässä järjestyksessä :

- mail.internal.verkkotunnuksesi.com
- internal.verkkotunnuksesi.com
- trustico.com

Kun teet SSL-sertifikaattitilaustasi, lähettämästäsi CSR-tiedostosta luodaan kaksi hash-tiedostoa. Verkkotunnuksellesi täytyy luoda DNS CNAME -tietue. Viittaamme sen sisältöön nimellä ”Request Token.”

Esimerkki: CSR-tiedosto luodaan, ja sen Common Name (CN) on www.verkkotunnuksesi.com. Verkkotunnus, jota käytämme todentamisessa tilausprosessin aikana, on verkkotunnuksesi.com. CSR-tiedostosta tehdään hash-tiedostot sekä MD5- että SHA-256-algoritmeilla.

Alla on esimerkit generoiduista MD5- ja SHA-256-hasheista, joita tulemme käyttämään esimerkeissämme.

- MD5 : C7FBC2039E400C8EF74129EC7DB1842C
- SHA-256 : c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f

Suorittaaksesi tilauksesi tällä todennusmetodilla sinun täytyy lisätä verkkosivusi DNS:ään DNS CNAME -tietue, jotta järjestelmämme voivat todentaa SSL-sertifikaattitilauksesi.

DNS:ää hallitsee yleensä hosting-palveluntarjoajasi tai verkkotunnuksesi rekisteröijä. Jos pääset siihen itse käsiksi, sinun täytyy lisätä siihen yllämainittu tietue täyttääksesi todennusvaatimukset.

Varmennusprosessin aikana saat sähköpostiviestin, joka sisältää lisäohjeita valitsemasi todennusmetodin käytöstä. Jos hosting-palveluntarjoajasi tai verkkotunnuksesi rekisteröijä hallitsee DNS:ääsi, voit lähettää sähköpostin eteenpäin heille.

Alla on esimerkki siitä, miltä DNS CNAME -tietueen tulee näyttää :

DNS CNAME -tietue : _<MD5 Hash>.verkkotunnuksesi.com CNAME

DNS CNAME:n arvo : <SHA-256 Hash>.[<Uniikki arvo>.]comodoca.com

Huomioi seuraavat asiat :

- MD5-hashin alkuun tuleva alaviiva. Alaviiva on välttämätön, ja sen täytyy sisältyä DNS CNAME -tietueeseen jotta palvelimemme osaavat valita sen varmennusta varten.
- <Uniikki arvo> on vapaaehtoinen arvo, jota ei vaadita varmennusprosessiin, paitsi jos haluat sen olevan siellä. Jos haluat, että DNS CNAME -tietueeseesi sisältyy uniikki arvo, ole hyvä ja ota meihin yhteyttä keskustellaksesi vaatimuksistasi lisää.

Kun DNS CNAME -tietue on luotu, järjestelmämme etsii sitä aika ajoin 30 päivän ajan. DNS CNAME -tietue mahdollistaa SSL-sertifikaattitilauksesi todentamisen ja SSL-sertifikaattisi myöntämisen.

Jos suoritat DNS-pohjaista todentamista, alla on esimerkki siitä, miltä DNS CNAME -tietueen ja sen arvon tulee näyttää : _C7FBC2039E400C8EF74129EC7DB1842C.verkkotunnuksesi.com CNAME

DNS CNAME:n arvo (ilman uniikkia arvoa) : c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f.comodoca.com

DNS CNAMEN: arvo (uniikilla arvolla) : c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f.uniikki-arvosi.comodoca.com

DNS CNAME -tietuetta etsitään tilausprosessin yhteydessä ilmoittamistasi verkkotunnuksista. Jos tietue löytyy, verkkotunnuksen hallinnointi on todistettu ja domainvarmennettu (DV) sertifikaatti voidaan myöntää.

Kun tilauksesi on tehty ja sitä käsitellään, saat sähköpostiviestin, joka sisältää hashit ja ohjeet niiden käyttämisestä. DNS-pohjaista todentamista suoritettaessa sähköpostiviestiisi sisältyy koodinpätkä, jonka tarkoitus on, että voit vain kopioida ja liittää sen CNAME-tietueeseesi.

Pääset käsiksi hasheihin ja ohjeisiin myös omalla Trustico®-tililläsi. Voit yksinkertaisesti katsoa tilaustasi, ja ohjeet ja hashit löytyvät sieltä.

Lisätietoa

Domainvarmennettujen SSL-sertifikaattien myöntäminen yllä mainituilla todennusmetodeilla saattaa kestää vain 5 minuuttia. Joitan verkkotunnuksia saatetaan tarkastaa perusteellisemmin. Jos uskot, että SSL-sertifikaattitilaustasi ei käsitellä ajallaan, voit ottaa meihin yhteyttä, jolloin autamme sinua saamaan tilauksesi valmiiksi ja tuotteesi myönnetyksi.