Валидация SSL-сертификата

АМ
Александр Мельников
26 сентября 2019

Валидация домена (DV - Domain Validation).

Начальный уровень доверия.
Для того чтобы подтвердить что домен принадлежит именно вам существует три способа. Рассмотрим каждый по отдельности.

С помощью электронной почты.

Администратору домена необходимо создать почтовый ящик, на который будет получено письмо от центра сертификации. Допускаются следующие имена:

  • admin@<доменное_имя>

  • administrator@<доменное_имя>

  • webmaster@<доменное_имя>

  • hostmaster@<доменное_имя>

  • postmaster@<доменное_имя>

 

В письме вы получите уникальный код и ссылка для подтверждения. Скопируйте код и перейдя по ссылке, вставьте его в соответствующее поле.

Другие способы требуются для получения сертификатов Comodo.

С помощью DNS-записей.

После генерации CSR (Certificate Signing Request - запрос подписи сертификата), вы получите хеш-значения вашего запроса, которые необходимо в запись CNAME вашей доменной зоны. Данная запись имеет строгий формат и будет выглядеть следующим образом:

_<MD5 hash value from CSR>.<доменное имя>. CNAME <SHA-256 hash value from CSR>.[<uniqueValue>.]comodoca.com.
Следует обратить внимание, что:

  • SHA-256 хеш-последовательность разделена символом “.” (точка) надвое, по 32 символа с обеих сторон;

  • Запись считается верной, если в конце доменного имени стоит символ “.” (точка);

  • Мультидоменные сертификаты требуют индивидуальные CNAME-записи, т.е. в вашем заказе они должны быть созданы для каждого домена отдельно;

  • В CNAME-записи не нужно указывать “www”, даже если вы получаете сертификат именно для этого поддомена.

 

Для наглядности, рассмотрим пример для поддомена:

_09f7e02f1975bf211da707a341f153b3.subdomain0.mydomain.com. CNAME 3d874ab7b199418a9014258369048163.9eb1f1472f4da5aa1ab5bcca1b0df53.comodoca.com.

Для домена www:

_81f9e13a1855bf221da717a341f153b3.mydomain.com. CNAME 3d874ab7bacd5f2e3a9e1f2b3a3cc163.1ae0cbd19f4da5aa1ab5bcca1aedf64.comodoca.com.

С помощью HTTP(S)

После генерации CSR (Certificate Signing Request - запрос подписи сертификата), вы получите хеш-значения вашего запроса. Для прохождения валидации необходимо создать текстовый файл и разместить его согласно правилам:

Файл должен быть доступен по ссылке:
http://<mydomain>/.well-known/pki-validation/<хеш-значение MD5 в верхнем регистре>.txt
Содержимое файла - 2 строки:

<Хеш-значение SHA-256>

comodoca.com

Важно!

  • Валидация не будет выполнена, если используются перенаправления;

  • Обязательно проверяем существование всех каталогов по указанному выше пути;

  • Если заказан Мультидоменный сертификат, то файлы должны быть доступны для каждого домена;

  • Проверка www-доменов происходит на основном домене;

  • Имя txt-файла не начинается с символа подчеркивания (_) и указано в верхнем регистре;

  • Содержимое файлов не требует разделения “точкой”. После comodoca.com символ точки не ставится.

Рассмотрим примеры.

для основного домена и в случае с “www”:

URL - http://mydomain.com/.well-known/pki-validation/81F9E13A1855BF221DA717A341F153B3.txt

Содержимое файла:

3d874ab7bacd5f2e3a9e1f2b3a3cc1631ae0cbd19f4da5aa1ab5bcca1aedf64

comodoca.com

Для домена третьего уровня - subdomain0.mydomain.com:

URL - http://subdomain0.mydomain.com/.well-known/pki-validation/09F7E02F1975BF211DA707A341F153B3.txt

Содержимое файла:

3d874ab7b199418a90142583690481639eb1f1472f4da5aa1ab5bcca1b0df53

comodoca.com

Валидация организации (OV - Organization validation)

Для проведения OV, следует выполнить три этапа.

Этап 1.

Выполнить валидацию домена (DV). Способы описаны выше.

Этап 2.

Непосредственно валидация организации. Несколько способов:

  • Центр сертификации самостоятельно проверяет существование организации через госреестры организаций;

  • Открытые реестры данных, например, Companies House GOV.UK, Lursoft.lv, Duns & Bradstreet, Hoovers.

  • Адрес организации следует подтвердить одним из следующих документов:

    • устав организации (с указанием адреса);

    • выданная правительством лицензия на ведение коммерческой деятельности (с указанием адреса);

    • копия выписки о состоянии банковского счета организации за последние 6 месяцев; (можно указать номер счета)

    • копия телефонного счета организации за последние 6 месяцев;

    • копия счета за коммунальные услуги организации за последние 6 месяцев или текущий договор аренды для организации.

  • Нотариально заверенное письмо (Legal Opinion Letter).

Этап 3.

Сотрудники центра сертификации (зачастую робот) звонят для подтверждения подлинности запроса сертификата, а также для завершения процесса валидации.

Сертификат будет подписан и выпущен после успешного завершения всех шагов.

Расширенная валидация (EV - Extended validation ).

Этап 1

Заполняете формы центра сертификации. Специальные бланки вам будут предоставлены.

Этап 2

Валидация организации, процесс описан выше.

Этап 3

Валидация домена. Процесс описан в самом начале.

Этап 4

Как и в случае OV, сотрудники центра сертификации звонят для подтверждения подлинности запроса сертификата и завершения процесса валидации.

Сертификат будет подписан и выпущен после успешного завершения всех шагов.

Подборки SSL-сертификатов: DV сертификат для домена, EV сертификат "зеленая строка", WC сертификат для поддоменов, SAN мультидоменный сертификат.

Остались вопросы? Задайте их нашему эксперту и получите квалифицированную помощь