Nové možnosti ověření DV certifikátu - když na doméně není pošta

4.10.2013 | Jindřich Zechmeister

Zákazníkům certifikátů s doménovým DV ověřením nyní SSLmarket nabízí kromě ověření certifikátu přes e-mail i alternativní ověření. Pokud na dané doméně nemáte aktivní e-maily, můžete k ověření použít unikátní záznam v DNS, nebo přes FTP nahrát unikátní soubor.

Jak probíhá ověření DV certifikátu?

Standardní ověření doménového DV certifikátu, kterým je například Thawte SSL 123, probíhá přes e-mail zaslaný autoritou na ověřovanou doménu. Zpráva obsahuje unikátní odkaz, přes který objednávku autoritě potvrdíte a certifikát je následně vystaven. Toto byla doposud jediná možnost ověření doménového certifikátu.

Více informací o ověření DV certifikátu přes e-mail a možnosti schránek, které lze použít, naleznete v nápovědě SSLmarketu.

Nové alternativní možnosti ověření

Certifikační autority rodiny Symantec přichází s revolučním způsobem ověření domény, který je alternativou ke standardnímu ověření přes e-mail. Na ověřované doméně tedy nemusíte mít aktivní e-maily.

Nově je ověření možné provést přes unikátní CNAME DNS záznam a přes unikátní soubor, který nahrajete přes FTP na doménu.

Jak objednat DV certifikát s alternativním ověřením

Typ ověření, které chcete pro vaši objednávku použít, vyberete v pátém kroku objednávky SSL certifikátu s doménovým ověřením. Stránka s tuto volbou se nazývá Ověření certifikátu a veřejný klíč (CSR).

Alternativní ověření DV SSL certifikátu

Po zažádání certifikátu u autority uvidíte v detailu objednávky údaje, které použijete pro ověření certifikátu přes DNS či soubor na FTP.

DNS ověření

Pro DNS ověření domény je nutné vytvořit DNS záznam typu CNAME v zónovém souboru ověřované domény. Tuto možnost naleznete v administraci domény vašeho registrátora, kde můžete nastavovat DNS záznamy. Údaje pro vytvoření záznamu CNAME budou uvedeny v detailu objednávky certifikátu a jsou pro každou objednávku unikátní. Do DNS vložíte již připravené záznamy, které vám zobrazíme. Příklad DNS záznamu pro DNS ověření domény:s13u5rom85v8m2ok0lg41wlm0holmfqr.sslmarket.cz. 3600 IN CNAME s20130805135212.sslmarket.cz. DNS záznam, který nastavíte u domény, je složen ze dvou částí:

  • Unikátní 32znakový řetězec, který se vloží jako CNAME záznam (alias, směřující subdoménu na hlavní doménu)
  • Timestamp ve tvaru yyyymmddhhmmss, který se vloží do pole Cíl a za něj přijde název ověřované domény

Autorita bude následně v pravidelných intervalech kontrolovat CNAME záznam v DNS domény. Pokud bude CNAME záznam v pořádku, automaticky objednávku certifikátu potvrdí a automaticky vystaví. Nebude již třeba čekat na potvrzující e-mail.

Kontrola DNS záznamu

Dostupnost a správnost nově vytvořeného DNS záznamu můžete zkontrolovat různými nástroji, které umí zobrazit odpověď na DNS dotaz. Součástí UNIXových operačních systému je program DIG, který umí poslat dotaz na DNS záznam a zobrazit odpověď. Součástí systému Windows tento program není, proto doporučujeme použít webovou verzi DIGu.

Do levého sloupce "Hostnames or IP addresses" napište subdoménu, kterou jste vytvořili; tedy unikatniretezec.overovanadomena.cz. Po kliknutí na tlačítko DIG uvidíte odpověď na DNS dotaz, která musí obsahovat scasoverazitko.overovanadomena.cz. Subdoména tvořená unikátním řetězcem musí ukazovat na subdoménu tvořenou timestampem. Příklad správné odpovědi získané programem Dig: dig +additional s13u5rom85v8m2ok0lg41wlm0holmfqr.sslmarket.cz. @8.8.4.4
; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.6 <<>> +additional s13u5rom85v8m2ok0lg41wlm0holmfqr.sslmarket.cz. @8.8.4.4
;; global options: printcmd
;; Got answer:
;; ->>HEADER< ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;s13u5rom85v8m2ok0lg41wlm0holmfqr.sslmarket.cz. IN A

;; ANSWER SECTION: s13u5rom85v8m2ok0lg41wlm0holmfqr.sslmarket.cz. 3056 IN CNAME s20130805135212.sslmarket.cz.

;; AUTHORITY SECTION:
testwebu.com. 1256 IN SOA ns1.regzone.cz. administrator.czechia.cz. 2013071303 10800 1800 1814400 3600
;; Query time: 13 msec
;; SERVER: 8.8.4.4#53(8.8.4.4)
;; WHEN: Wed Aug 14 12:08:01 2013
;; MSG SIZE rcvd: 165

Ověření přes soubor na FTP

Druhou možností alternativního ověření domény je nahrání unikátního souboru na prostor webu (FTP). Soubor můžete vytvořit sami, nebo ho můžete stáhnout z administrace účtu na SSLmarket.cz. Jeho unikátní název a obsah je dán autoritou a je unikátní pro vaši objednávku.

Soubor .HTM (webová stránka) stáhněte z administrace SSLMarket a nahrajte do hlavní (root) složky vašeho webu (na FTP). Zkontrolujte, zdali je soubor přístupný pro návštěvníka a neomezuje ho například soubor .htaccess.

Autorita bude v pravidelných intervalech automaticky kontrolovat přítomnost a obsah souboru. Jakmile ho nalezne, potvrdí objednávku certifikátu a ten bude vydán.

Ověření přes DNS a soubor je rychlé a jednoduché

Výše uvedené způsoby ověření nezpůsobí velké prodlevy při vystavení certifikátu. Autorita provádí kontrolu ve velice krátkých intervalech a nemusíte se tedy obávat, že by bylo vystavení certifikátu zdrženo. Při DNS ověření není třeba čekat na rozšíření DNS záznamů, které obvykle trvá až 48 hodin.

SSLmarket maximálním možným způsobem zjednodušil uvedené ověření tak, abyste se nemuseli zdržovat při tvorbě DNS záznamu či tvoření souboru pro ověření.

Máte potíže s alternativním ověřením domény?

Pokud se alternativní ověření nedaří, můžete se vrátit zpět k e-mailovému ověření. V takovém případě neváhejte kontaktovat naši zákaznickou podporu, která vám pomůže s výše uvedeným ověřením domény.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz