Wie kann die Validierung für ein DV-Zertifikat durchgeführt werden? - Help Center - naymspace systems
Zum Hauptinhalt springen

Wie kann die Validierung für ein DV-Zertifikat durchgeführt werden?

Die Validierungsart DV (domain validated) ist die Basisstufe der verschiedenen Validierungs-Level.

Bevor eine öffentliche Zertifizierungsstelle (eine Certificate Authority oder kurz CA) ein SSL-Zertifikat ausstellt, überprüft sie, ob die Domain, für die das Zertifikat beantragt wurde, tatsächlich dem Antragsteller gehört. Dazu muss der Antragsteller beweisen, dass er über die Domain verfügen kann. Bei domain validated Zertifikaten gibt es 3 unterschiedliche Verfahren dafür, die alternativ eingesetzt werden können (bei weitergehenden Validierungsarten verlangt die CA zusätzliche Nachweise):

 

E-Mail-Validierung

Die CA schickt eine E-Mail mit einem Link und eventuell auch einem Code an eine E-Mail-Adresse der betreffenden Domain. Wenn der Empfänger den Link anklickt, erscheint eine Website, auf der eventuell auch noch der Code eingegeben werden muss. Damit ist gegenüber der CA nachgewiesen, dass der Antragsteller Zugriff auf die E-Mail mit der Domain hat. Das wertet die CA als ausreichenden Beweis und stellt das gewünschte Zertifikat aus. Es können nur bestimmte E-Mail-Adressen verwenden werden:

postmaster@<domain>
hostmaster@<domain>
webmaster@<domain>
admin@<domain>
administrator@<domain>

Dabei ist <domain> jeweils durch den Namen der Domain zu ersetzen, für die das Zertifikat beantragt wurde. Andere E-Mail-Adressen der Domain wie zum Beispiel hand.schultz@<domain> können nicht verwendet werden. E-Mail-Adressen mit einer anderen Domain können schon gar nicht verwendet werden, weil damit ja keinerlei Nachweis erbracht werden würde.

 

Validierung mit DNS-Eintrag

Wenn diese Validierungsart gewählt wird, schickt die CA den Namen einer Subdomain und eines Targets an den Antragsteller. Die Subdomain muss als DNS-Record in die DNS der Domain eingetragen werden, für die das Zertifikat beantragt wurde. Die CA fragt in Abständen die Subdomain ab. Wenn sie eingetragen ist und das richtige Target angegeben ist, ist gegenüber der CA nachgewiesen, dass der Antragsteller Zugriff auf die DNS der Domain hat. Das wertet die CA als ausreichenden Beweis und stellt das gewünschte Zertifikat aus.

Ein solcher von der CA geforderter Eintrag kann zum Beispiel ein CNAME-Record der folgenden Art sein:

_ee4c8f41e1a334e8d5e493c301ecb3ed.<domain> IN CNAME 6bfcba35f68b1e91efbcce60f0c4c5ce.401d801a68aa026c94de63b02b6e7da4.43340074b0df4351467a.comodoca.com

Dieser Record muss in die für die Domain autoritativen Nameserver eingetragen werden.

 

Validierung mit Hash-Datei auf der Website

Wenn diese Validierungsart gewählt wird, schickt die CA den Namen und den Inhalt einer Datei an den Antragsteller. Die Datei muss unter diesem Namen und mit dem angegebenen Inhalt auf die unter http://<domain> erreichbare Website hochgeladen werden. Die CA fragt in Abständen die Website ab. Wenn sie die Datei mit dem richtigen Inhalt findet, ist gegenüber der CA nachgewiesen, dass der Antragsteller Zugriff auf die Website der Domain hat. Das wertet die CA als ausreichenden Beweis und stellt das gewünschte Zertifikat aus.

Ein solche von der CA geforderte Datei kann zum Beispiel wie folgt aussehen:

Dateiname:
DFAED960A91175226712E5E84B5EF3BB.txt

Inhalt:
aff1cfe71c898de3ad2661a8c0b70625463968462700e64203170eec64a9daf9
comodoca.com
cwmqHUe1ruXGB6LQSvTY

Der Inhalt muss so auf die Website hochgeladen werden, dass er unter http://<domain>/DFAED960A91175226712E5E84B5EF3BB.txt angezeigt wird.

 

 

 

 

Zurück zu Validierung