Domein Validatie (DV)

- Authenticatie Vereisten

Domain Validation (DV) SSL Certificaten zorgen voor een grote mate van consumentenvertrouwen middels een beveiligde verbinding tussen de web browser van de klant en uw eigen website. Domain Validation (DV) verificatierichtlijnen zorgen voor een snel en efficiënt proces voor het snel beveiligen van uw website.

Trustico® Validation Image

Domain Validated (DV) SSL Certificaten worden door een Certificate Authority (CA) waarbij gecontroleerd en bevestigd wordt dat de persoon die het SSL Certificaat gekocht heeft ook het recht heeft om een SSL Certificaat voor een specifieke domeinnaam te mogen kopen. Het SSL Certificaat wordt vervolgens uitgeven met alleen de domeinnaam in het certificaat. Informatie over de organisatie/ bedrijf wordt niet in het certificaat opgenomen.

Domain Validated SSL Certificaten hebben het voordeel dat ze praktisch direct uitgegeven worden en dat geen papierwerk ingediend hoeft te worden.

Domain Validated SSL Certificaat producten worden gevalideerd door middel van een van de drie volgende validatiemethoden :

Approver E-Mail Domain Control Validation (DCV)
HTTP / File Based Domain Control Validation (DCV)
DNS CNAME Based Domain Control Validation (DCV)

Bestellingen voor grote bedrijven, bekende corporaties en financiële instellingen kunnen in de wachtrij geplaatst worden voor verdere veiligheidsreviews voordat er tot uitgifte overgegaan wordt.

In het geval er een bestelling in de wachtrij staat voor review, moet de contactpersoon een full time werknemer van het bedrijf, wil het certificaat succesvol uitgeven worden. Soms is er een verificatie telefoongesprek met de contactpersoon nodig.

Domein Controle Validatie (DCV) Goedkeurings E-Mail

Indien er gekozen wordt voor een Domain Validated SSL Certificaat, wordt er tijdens het bestellingsproces een e-mail adres uit de shortlist van opties gekozen. We sturen vervolgens een E-mail naar het e-mailadres met een unieke validatiecode. Deze bevat ook een link waarmee, wanneer er op geklikt wordt, u de validatiecode in kunt voeren, daarmee het domeinbezit bewijzend. De volgende generieke e-mailadressen worden daar momenteel voor gebruikt:

- admin@yourdomain.com

- administrator@yourdomain.com

- hostmaster@yourdomain.com

- webmaster@yourdomain.com

- postmaster@yourdomain.com

De bovenstaande e-mailadressen zijn generieke adressen. Indieners moeten een generiek adres uitkiezen om te bewijzen dat ze domeinnaam beheren voordat ze een SSL Certificaat kunnen kopen. Als we het contact e-mailadres kunnen ophalen uit de WHOIS database kan deze ook gebruikt worden.

Als we tijdens het bestellingsproces het contact e-mailadres niet uit de WHOIS database kunnen ophalen kunt u doorgaan door een generiek adres uit te kiezen en vervolgens Contact Opnemen daar het voor ons mogelijk is om de bestelling handmatig te updaten met het contract e-mailadres uit de WHOIS database.

HTTP / File Based Domain Control Validation (DCV)

Voor HTTP-gebaseerde DCV is er nodig dat een HTTP server op port 80 loopt of dat een HHTPS server op port 443 loopt of op de Authorization Domain Name. We volgen CNAMEs als we de HHTP-gebaseerde DCV afronden. We kijken naar het bestand bij elk geldig Authorization Domain, dat wil zeggen dat we starten met het Fully Qualified Domain Name (FQDN) en dat van links naar rechts een of meer labels in het FQDN eraf halen en dat we kijken naar het bestand op elk van de intermediate domeinen.

Om uw bestelling af te ronden via deze authenticatiemethode, dient u een validatiebestand op uw website te installeren. Het validatiebestand zorgt ervoor dat onze systemen uw SSL Certificaat bestelling kunnen verifiëren. Het validatiebestand moet in een specifieke directory staan.

Om deze taak af te ronden moet u een nieuwe directory creëren op het root level van uw bestaande website bestandstructuur, genaamd:

.well-known

Daarnaast dient u in deze nieuw gecreëerde directory nog een directory aanmaken met de naam :

pki-validation

Als u de bestelling voor uw SSL Certificaat platst, worden er twee hashes gecreëerd vanuit de CSR die u gegenereerd en aangeleverd heeft. Er is een lege tekstbestand nodig op de HTTP/S server of op de geautoriseerde domeinnaam, met een hash met de bestandsnaam, en een hash met het tekstbestand zelf. Dit tekstbestand noemen we het Request Token.

Bijvoorbeeld: Een CSR wordt gegenereerd met de Common Name (CN) www.uwdomein.com. De Authorization Domain Name zal uwdomein.com worden. De CSR wordt ge-hashed door zowel de MD5 als SHA-256 hashing algoritmes te gebruiken.

Hieronder is een voorbeeld van een gegenereerde MD5 hash en een SHA-256 hash die we als voorbeeld zullen gebruiken.

MD5 : C7FBC2039E400C8EF74129EC7DB1842C
SHA-256 : c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f

Er zal een bestand aangemaakt moeten worden dat de dezelfde MD5 hash als de .txt en bestandsextensie gebruikt.

Hieronder een voorbeeld van hoe het website path eruit zou moeten zien :

https://www.yourdomain.com/.well-known/pki-validation/C7FBC2039E400C8EF74129EC7DB1842C.txt

In dit tekstbestand dat aangemaakt is, moet de SHA-256 hash en de domein comodoca.com worden toegevoegd op de volgende regel.

Hieronder een voorbeeld van hoe de content in het tekstbestand er uit zal zie :

c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f comodoca.com

Zodra de bestelling is ontvangen en het op HTTP-gebaseerde DCV geverifieerd is, controleert het validatiesysteem de aanwezigheid van het tekstbestand en haar inhoud. Als het bestand gevonden is en de hash waarden komen overeen, is de domeincontrole voltooid.

Als de bestelling is geplaatst en verwerkt wordt, ontvangt u een e-mail dat de hashes en instructies bevat hoe deze te gebruiken. Voor de HTTP-gebaseerde DCV bevat de e-mail een bijlage met het bestand waarin de hashes al in het bestand toegepast zijn. Hiermee kunt het bestand aan de juiste directory zoals hierboven beschreven toevoegen.

U kunt ook toegang krijgen tot de hashes en instructies via uw Trustico® account. Daarvoor kunt u uw bestelling ‘Bekijken’ en de instructies en & hashes zijn zichtbaar in die bestelling.

DNS CNAME Based Domain Control Validation (DCV)

Voor DNS CNAME based DCV is het aanmaen van een DNC CNAME bestand nodig, dat refereert aan de CA van het gekochte SSL Certificaat. De CNAME wordt vervolgens gecontroleerd bij elke geldig Authorized Domain, dat wil zeggen dat we beginnen bij de Fully Qualified Domain Name (FQDN) en dat we van links naar rechts in het FQDN een of meer labels stripen en dat we kijken naar de CNAME op elk intermediate domein.

Bijvoorbeeld: Voor een certificaat aanvraag voor een FQDN of * .mail.internal.uwdomein, kijken we naar het DNS CNAME bestand op deze plekken en voor deze bestelling:

- mail.internal.trustico.com

- internal.trustico.com

- trustico.com

Als u een bestelling plaatst voor uw SSL Certificaat worden er twee hashes gecreerd vanuit de CSR die u gegeneerd en aangeleverd heeft. Er zal een DNS CNAME bestand moeten worden aangemaakt onder de Authorization Domain Name en we noemen de inhoud van het DNS CNAME bestand het Request Token.

Bijvoorbeeld: Een CSR wordt gegenereerd met de Common Name (CN) www.uwdomein.com. De Authorization Domain Name zal uwdomein.com worden. De CSR wordt ge-hashed door zowel de MD5 als SHA-256 hashing algoritmes te gebruiken.

Hieronder is een voorbeeld van een gegenereerde MD5 hash en een SHA-256 hash die we als voorbeeld zullen gebruiken.

- MD5 : C7FBC2039E400C8EF74129EC7DB1842C

- SHA-256 : c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f

Om de bestelling af te ronden via deze authenticatemethode, dient u het DNS CNAME bestand aan uw DNS servers toe te voegen zodat onze systemen uw SSL Certificaat bestelling kunnen verifiëren.

In de meeste gevallen worden uw DNS bestanden beheerd door uw hosting provider or domeinregistreerder. Als u toegang heeft tot uw DNS bestanden moet u bovenstaand bestand toevoegen om succesvol de validatie vereisten te voltooien.

Tijdens de validatieprocedure ontvangt u een e-mail met instructies die u helpen bij het gebruik van deze authenticatiemethode. Als uw DNS bestanden worden beheerd door uw hosting provider of domeinregistreerder, kunt u daar de e-mail naar toe sturen indien u geen toegang heeft tot uw DNS bestanden.

Hieronder een voorbeeld van hoe het DNS CNAME bestand eruit zou moeten zien :

DNS CNAME bestand : _<MD5 Hash>.uwdoemein.com CNAME

DNS CNAME waarde : <SHA-256 Hash>.[<Unique Value>.]comodoca.com

Let op :

De leading underscore bij het begin van de MD5 hash. Deze leading underscore is noodzakelijk en moet onderdeel zijn van het DNS CNAME bestand om opgepikt te kunnen worden door onze servers voor validatie.
De <Unique Value> is een optionele waarde en is niet noodzakelijk voor voltooiing van het validatieproces tenzij u wilt dat er een unieke waarde komt. Als u graag een unieke waarde voor uw DNS CNAME Bestand wilt kunt u Contact Opneme om uw wensen verder met ons te bespreken.

Zodra het DNS CNAME bestand aangemaakt is, zal ons systeem deze regelmatig tot 30 dagen lang controleren om deze te lokaliseren. Het DNS CNAME bestand zorgt ervoor dat uw SSL Certificaat bestelling wordt geverifieerd en uitgegeven.

Om een op DNS CNAME bestand gebaseerde DCV uit te voeren vindt u hieronder een voorbeeld van hoe een DNS CNAME bestand en waarde eruit zou moeten zien:

DNS CNAME bestand : _C7FBC2039E400C8EF74129EC7DB1842C.uwdomein.com CNAME

DNS CNAME waarde (Zonder unieke waarde) : c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f.comodoca.com

DNS CNAME waarde (Met een unieke waarde) : c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f.uw- unieke-waarde.comodoca.com

De Authorization Domain Names zullen worden gescand op de aanwezigheid van dit DNS CNAME bestand. Als deze gevonden wordt is het domeinbezit bewezen en kan het Domain Validation (DV) certificaat worden uitgegeven.

Wanneer u een bestelling heeft geplaatst en deze verwerkt wordt, ontvangt u een e-mail met de hashes en instructies hoe deze te gebruiken. Voor op DNS CNAME gebaseerde DCV zal de a-mail een stuk code bevatten die u simpelweg kunt kopiëren & plakken in het stuk code van uw CNAME bestand.

U kunt ook toegang krijgen tot de hashes en instructies via uw Trustico® account. Daarvoor kunt u uw bestelling ‘Bekijken’ en de instructies en & hashes zijn zichtbaar in die bestelling.

Extra Informatie

Voor de uitgifte van Domain Validated SSL Certificaten is maar 5 minuten nodig als een van bovenstaande authenticatiemethodes wordt gebruikt. Voor sommige domeinen duurt het langer vanwege extra validatie checks of als het domein in de wachtrij staat. Als u denkt dat uw SSL Certificaat niet op tijd wordt uitgegeven kunt u Contact Opnemen zodat we u kunnen helpen bij het afronden van de bestelling en uitgifte van het certificaat.