Domeingevalideerd SSL-certificaat

Domeinvalidatie (DV) certificaten zijn SSL-certificaten die zeer eenvoudig en snel kunnen worden verkregen. Dankzij eenvoudige verificatie en volledige automatisering is het mogelijk om binnen enkele minuten een nieuw certificaat te verkrijgen en een beveiligde website te hebben.

Hoewel domein SSL-certificaten erg goedkoop zijn, garanderen ze kwalitatieve https-communicatie zonder problemen.

DV SSL-certificaten zijn basis SSL-certificaten die, in tegenstelling tot OV en EV SSL-certificaten, geen complexe authenticatie vereisen. De CA hoeft alleen te verifiëren dat de persoon of organisatie die het SSL-certificaat aanvraagt, het domein kan gebruiken.

Hoe domeinvalidatie werkt

Nadat de bestelling is geplaatst, de certificaataanvraag (CSR) is ingediend en de betaling is verricht, wordt het SSL-certificaat besteld bij de certificeringsinstantie, die onmiddellijk een validatie-e-mail verstuurt. Na bevestiging daarvan verstrekt de instantie het certificaat. Validatie kan ook worden uitgevoerd via FTP of DNS (zie hieronder).

De bestelling

Nadat het SSL-certificaat is besteld en de betaling is verricht, wordt de bestelling gecontroleerd door het systeem en als alles in orde is, wordt het certificaat automatisch besteld bij de certificeringsinstantie. Het bestellen van een certificaat bij de instantie wordt aangekondigd via e-mail en de bestelling krijgt de status: WACHTENDE.

Als u een bevestiging van de betaling heeft ontvangen, maar de bestelling nog steeds in de betalingsstatus staat en de bestelling niet naar de certificeringsinstantie is verzonden, controleer dan of de certificaataanvraag is ingediend. Genereer alternatief gewoon een certificaataanvraag (CSR).

Verificatie door de certificeringsinstantie

De validatie van de certificaataanvrager wordt uitgevoerd door de certificeringsinstantie, dat wil zeggen, deze stuurt een validatie-e-mail, verstrekt en stuurt het certificaat.

E-mailvalidatie:

De gemakkelijkste manier om te valideren is door het domein te verifiëren met een e-mail die naar een vooraf geselecteerd adres is gestuurd, waar de eigenaar of beheerder van het domein op de link klikt, waarna zij de certificaataanvraag "Goedkeuren" bevestigen. Daarna wordt het certificaat vrijwel onmiddellijk uitgegeven.

E-mailadressen waarheen een validatie-e-mail kan worden gestuurd:

admin@example.net
administrator@example.net
webmaster@example.net
hostmaster@example.net
postmaster@example.net

De aangeboden e-mails zijn ingesteld volgens de regels van het CAB-forum. De validatie-e-mail moet worden aangemaakt en functioneel zijn. Als u geen van deze e-mails heeft, moet u er een maken en instellen als een alias voor een bedrijfse-mail, bijvoorbeeld.

Validatie-mailboxen zijn vaste regels voor domeinvalidatie! Het is NIET mogelijk om een andere mailbox op het domein te kiezen, zoals het werk-e-mailadres john.doe@mycompany.com. Het is ook niet mogelijk om gratis e-mail zoals Google, Yahoo, etc. te gebruiken. Deze e-mails hebben niets te maken met het domein.

Voorbeeld van CA Sectigo validatie-e-mail:

Wat te doen als de validatie-e-mail niet is aangekomen?

De validatie-e-mail wordt direct naar de certificeringsinstantie gestuurd onmiddellijk na het bestellen van het certificaat bij de instantie (CA Sectigo stuurt een e-mail van noreply_support@comodo.com). Het e-mailadres is mogelijk nog niet beschikbaar of u moet het naar een ander van de 4 e-mails veranderen. E-maildoorstuurinstellingen kunnen ook mislukken of e-mail kan niet worden bezorgd vanwege een strikt spambeleid.

De validatie-e-mail kan op elk moment opnieuw worden verzonden voordat het certificaat wordt uitgegeven. Doorsturen gebeurt in het bedieningspaneel: SSL Order Detail -> Order information -> Validation method: -> Edit -> Resend. Hier is het ook mogelijk om de e-mail te wijzigen en een andere in te stellen.

Belangrijk: Als de validatie-e-mail na meerdere pogingen niet kan worden ontvangen, controleer dan de domeinnaam op typfouten bij het bestellen. Het is ook mogelijk dat uw provider anti-spamfilters heeft ingesteld waardoor e-mails van een buitenlandse instantie worden geweigerd. In dat geval moet u contact opnemen met uw e-mailprovider of overwegen om alternatieve validatie te gebruiken.

Uitgifte van een certificaat

Zodra de validatie-e-mail is bevestigd, wordt het certificaat binnen enkele minuten uitgegeven en naar het opgegeven contact in de bestelling verzonden.
De e-mail bevat een gecertificeerde openbare sleutel en tussentijdse CA-certificaten, om certificaatvertrouwen te garanderen. Alles wordt samen met de privésleutel op de server geüpload.

Alternatieve verificatiemethoden

Als u de eigenaar van het domein niet kunt verifiëren via e-mail, zijn er twee andere manieren om het domein te valideren.

Verificatie op basis van bestand (FTP-validatie)

De CA verifieert het domein met behulp van een TXT-bestand dat zich bevindt op de schijfruimte van het domein. Het openbaar beschikbare bestand bevat een tekstreeks (token) die moet worden geüpload naar de /.well-known/pki-validation/ map van de website. De certificeringsinstantie verifieert het bestaan ervan en valideert zo dat de aanvrager toegang heeft tot het domein en het recht heeft om over het domein te beschikken. Elke aanvraag heeft altijd zijn eigen tekstreeksen, die naast de besteldetails worden vermeld en per e-mail worden verzonden. De onderstaande strings zijn slechts ter illustratie.

Opmerking: Vanaf november 2021 is het niet mogelijk om WildCard SSL-certificaten te verifiëren via FTP-validatie. Alleen DNS.

Voorbeeld van FTP-validatie van RapidSSL-certificaat


            Naam van bestand: fileauth.txt

            Pad naar het bestand: http://example.net/.well-known/pki-validation/fileauth.txt


            Inhoud (token):

            8CC79447A5MTg4MzY1MA2#!cm5ywz5m1lzoyfp2xhy7


            Het tekstbestand bevat alleen het token, zonder verdere informatie.

Voorbeeld van FTP-validatie van Sectigo PositiveSSL-certificaat


            Naam van bestand: 048B0565E245687S52C7801EA7D4B954F3.txt

            Pad naar het bestand: http://example.net/.well-known/pki-validation/048B0565E245687S52C7801EA7D4B954F3.txt


            Inhoud:

            141A63FD5637E4524954SDAB4B2C0B4DBD0CCFABD5379DF821F5F01B3B69116993

            COMODOCA.COM

            t0211231001361667854


            Alle ingevoerde parameters moeten op afzonderlijke regels staan!

Belangrijk: Het authenticatiebestand moet bereikbaar zijn op een adres zonder "www". Zelfs als het een certificaataanvraag betreft voor een domein met "www", bijvoorbeeld www.example.net.

Controle of de record beschikbaar is, wordt uitgevoerd door eenvoudig het adres in de browser in te voeren, waar de validatie-informatie moet worden weergegeven.

DNS-validatie

De DNS-records van het domein worden meestal ingesteld door uw hostingprovider of domeinregistrar. De certificeringsinstantie genereert een unieke string, die wordt ingevoegd in de DNS als een TXT-record, of er wordt een CNAME ingesteld. Naarmate nieuwe DNS-inhoud zich verspreidt, controleert de CA de record en verstrekt een certificaat aan het domein als alles in orde is.

Voorbeeld van DNS-validatie met behulp van TXT-record


            DNS TXT-record: d3pyrjg65d8hh1bv0tgr4bx890yksq8j

Voorbeeld van DNS-validatie met behulp van een CNAME-record


            DNS CNAME-record: _cfd00c1ec2d56372b27b9562f5da83d0.example.net CNAME
 cb3a889855882c6518c0ac959be30067.e8349bfb8ec9a0334864d9bf350a1188.t0119001001421510849.comodoca.com

Belangrijk: Ook bij het aanvragen van een certificaat voor het domein www.example.net, moet het TXT-record beschikbaar zijn in DNS op het domein zonder "www".

Controle of de record beschikbaar is, kan online worden gevonden via digwebinterface.com of whatsmydns.net.

Wat nu?

Terug naar Help
Een fout gevonden of iets niet begrepen? Schrijf ons!

SSLmentor

Domeinvalidatie