DV certifikáty a overenie domény prostredníctvom DNS záznamu

(Bratislava, 3. 10. 2013) Certifikačné autority rodiny Symantec rozširujú možnosti overenia domény, ktoré sa vykonáva pri DV certifikátoch. SSLmarket túto funkciu ponúka všetkým zákazníkom, ktorí nechcú alebo nemôžu overiť objednávku doménového SSL certifikátu cez overovací e-mail.

Štandardné overenie DV certifikátu

Štandardným spôsobom overenia DV certifikátu je zaslanie e-mailu s unikátnym odkazom na overovanú doménu. K dispozícii je päť schránok na danej doméne a e-mail vlastníka domény, alebo administračného kontaktu. Žiadateľ o certifikát musí mať na overovanej doméne aktívnu jednu zo schránok admin, administrator, hostmaster, postmaster či webmaster. Jedinou alternatívou bolo doteraz preposlanie e-mailu autority na e-mail administračného kontaktu domény, alebo jej vlastníka (kontakty z WHOIS).

Revolúcia v spôsobe overenia domény

Certifikačné autority rodiny Symantec teraz prichádzajú s revolučným spôsobom overenia domény, ktorý je alternatívou k štandardnému overeniu cez e-mail. Jedná sa o overenie prostredníctvom DNS záznamov a overenie prostredníctvom súboru na FTP.

Typ overenia, ktoré chcete pre vašu objednávku použiť, vyberiete v kroku objednávky certifikátu, nazvanom Overenie certifikátu a verejný kľúč (CSR).

Alternatívna možnosť overenia DV certifikátu

Po zažiadaní certifikátu u autority uvidíte v detaile objednávky údaje, ktoré použijete pre overenie certifikátu cez DNS či súbor na FTP.

DNS overenie

Pre DNS overenie domény je nutné vytvoriť DNS záznam typu CNAME v zónovom súbore overovanej domény. Túto možnosť nájdete v administrácii domény vášho registrátora, kde môžete nastavovať DNS záznamy.
Údaje pre vytvorenie záznamu CNAME budú uvedené v detaile objednávky certifikátu a sú pre každú objednávku unikátne. Do DNS vložíte už pripravené záznamy, ktoré vám zobrazíme. Príklad DNS záznamu pre DNS overenie domény:

s13u5rom85v8m2ok0lg41wlm0holmfqr.sslmarket.sk. 3600 IN CNAME s20130805135212.sslmarket.sk. DNS záznam, ktorý nastavíte doméne, je zložený z dvoch častí:

  • - Unikátny 32znakový reťazec, ktorý sa vloží ako CNAME záznam (alias, smerujúci subdoménu na hlavnú doménu)
  • - Timestamp v tvare yyyymmddhhmmss, ktorý sa vloží do poľa Cieľ a za neho príde názov overovanej domény

Autorita bude následne v pravidelných intervaloch kontrolovať CNAME záznam v DNS domény. Ak bude CNAME záznam v poriadku, automaticky objednávku certifikátu potvrdí a automaticky vystaví. Nebude už potrebné čakať na opakovaný e-mail.

Kontrola DNS záznamu

Dostupnosť a správnosť novovytvoreného DNS záznamu môžete skontrolovať rôznymi nástrojmi, ktoré dokáže zobraziť odpoveď na DNS dotaz. Súčasťou UNIXových operačných systémov je program DIG, ktorý dokáže poslať dotaz na DNS záznam a zobrazit odpoveď. Súčasťou systému Windows tento program nie je, preto doporúčame použiť webovú verziu DIGu.

Do ľavého stĺpca "Hostnames or IP addresses" napište subdoménu, ktorú ste vytvorili; teda unikatnyretazec.overovanadomena.sk. Po kliknutí na tlačidlo DIG uvidíte odpoveď na DNS dotaz, ktorá musí obsahovať scasovupeciatku.overovanadomena.sk.
Subdoména, tvorená unikátnym reťazcom musí ukazovať na subdoménu, tvorenú timestampom.

Príklad správnej odpovede získanej programom Dig:
dig +additional s13u5rom85v8m2ok0lg41wlm0holmfqr.sslmarket.sk. @8.8.4.4
; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.6 <<>> +additional s13u5rom85v8m2ok0lg41wlm0holmfqr.sslmarket.sk. @8.8.4.4
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 13209
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;s13u5rom85v8m2ok0lg41wlm0holmfqr.sslmarket.sk. IN A

;; ANSWER SECTION: s13u5rom85v8m2ok0lg41wlm0holmfqr.sslmarket.sk. 3056 IN CNAME s20130805135212.sslmarket.sk.

;; AUTHORITY SECTION:
testwebu.com. 1256 IN SOA ns1.regzone.cz. administrator.czechia.cz. 2013071303 10800 1800 1814400 3600
;; Query time: 13 msec
;; SERVER: 8.8.4.4#53(8.8.4.4)
;; WHEN: Wed Aug 14 12:08:01 2013
;; MSG SIZE rcvd: 165

Overenie prostredníctvom súboru na FTP

Druhou možnosťou alternatívneho overenia domény je nahranie unikátneho súboru na FTP webe. Nami pripravený súbor nájdete v detaile objednávky SSL certifikátu. Jeho unikátny názov a obsah je daný autoritou a je unikátny pre vašu objednávku.

Súbor .HTM (webová stránka) stiahnete z administrácie SSLMarket a nahráte do hlavného (root) priečinka vášho webu (na FTP). Skontrolujte, či je súbor prístupný pre návštevníka a neobmedzuje ho napríklad soubor .htaccess.

Autorita bude v pravidelných intervaloch automaticky kontrolovať prítomnosť a obsah súboru. Akonáhle ho nájde, potvrdí objednávku certifikátu a ten bude vydaný.

Overenie prostredníctvom DNS a súboru je rýchle a jednoduché

Vyššie uvedené spôsoby overenia nespôsobia žiadne oneskorenia pri vystavení certifikátu. Autorita vykonáva kontrolu vo veľmi krátkych intervaloch a nemusíte sa teda obávať, že by bolo vystavenie certifikátu zdržané. Pri DNS overení nie je potrebné čakať na rozšírenie DNS záznamov, ktoré zvyčajne trvá až 48 hodín.

SSLmarket maximálnym možným spôsobom zjednodušil uvedené overenie tak, aby ste sa nemuseli zdržovať pri tvorbe DNS záznamov alebo tvorení súboru pre overenie.

Máte problémy s alternatívnym overením domény?

V prípade potreby neváhajte kontaktovať našu zákaznicku podporu, ktorá vám pomôže s výššie uvedeným overením domény.

Archív noviniek