Валидация SSL-сертификата

Валидация домена (DV - Domain Validation).

Начальный уровень доверия.
Для того чтобы подтвердить что домен принадлежит именно вам существует три способа. Рассмотрим каждый по отдельности.

С помощью электронной почты.

Администратору домена необходимо создать почтовый ящик, на который будет получено письмо от центра сертификации. Допускаются следующие имена:

• admin@<доменное_имя>

• administrator@<доменное_имя>

• webmaster@<доменное_имя>

• hostmaster@<доменное_имя>

• postmaster@<доменное_имя>

В письме вы получите уникальный код и ссылка для подтверждения. Скопируйте код и перейдя по ссылке, вставьте его в соответствующее поле.

Другие способы требуются для получения сертификатов Comodo.

С помощью DNS-записей.

После генерации CSR (Certificate Signing Request - запрос подписи сертификата), вы получите хеш-значения вашего запроса, которые необходимо в запись CNAME вашей доменной зоны. Данная запись имеет строгий формат и будет выглядеть следующим образом:

_<MD5 hash value from CSR>.<доменное имя>. CNAME <SHA-256 hash value from CSR>.[<uniqueValue>.]comodoca.com.
Следует обратить внимание, что:

• SHA-256 хеш-последовательность разделена символом “.” (точка) надвое, по 32 символа с обеих сторон;

• Запись считается верной, если в конце доменного имени стоит символ “.” (точка);

• Мультидоменные сертификаты требуют индивидуальные CNAME-записи, т.е. в вашем заказе они должны быть созданы для каждого домена отдельно;

• В CNAME-записи не нужно указывать “www”, даже если вы получаете сертификат именно для этого поддомена.

Для наглядности, рассмотрим пример для поддомена:

_09f7e02f1975bf211da707a341f153b3.subdomain0.mydomain.com. CNAME 3d874ab7b199418a9014258369048163.9eb1f1472f4da5aa1ab5bcca1b0df53.comodoca.com.

Для домена www:

_81f9e13a1855bf221da717a341f153b3.mydomain.com. CNAME 3d874ab7bacd5f2e3a9e1f2b3a3cc163.1ae0cbd19f4da5aa1ab5bcca1aedf64.comodoca.com.

С помощью HTTP(S)

После генерации CSR (Certificate Signing Request - запрос подписи сертификата), вы получите хеш-значения вашего запроса. Для прохождения валидации необходимо создать текстовый файл и разместить его согласно правилам:

Файл должен быть доступен по ссылке:
http://<mydomain>/.well-known/pki-validation/<хеш-значение MD5 в верхнем регистре>.txt
Содержимое файла - 2 строки:

<Хеш-значение SHA-256>

comodoca.com

Важно!

• Валидация не будет выполнена, если используются перенаправления;

• Обязательно проверяем существование всех каталогов по указанному выше пути;

• Если заказан Мультидоменный сертификат, то файлы должны быть доступны для каждого домена;

• Проверка www-доменов происходит на основном домене;

• Имя txt-файла не начинается с символа подчеркивания (_) и указано в верхнем регистре;

• Содержимое файлов не требует разделения “точкой”. После comodoca.com символ точки не ставится.

Рассмотрим примеры.

для основного домена и в случае с “www”:

URL - http://mydomain.com/.well-known/pki-validation/81F9E13A1855BF221DA717A341F153B3.txt

Содержимое файла:

3d874ab7bacd5f2e3a9e1f2b3a3cc1631ae0cbd19f4da5aa1ab5bcca1aedf64

comodoca.com

Для домена третьего уровня - subdomain0.mydomain.com:

URL - http://subdomain0.mydomain.com/.well-known/pki-validation/09F7E02F1975BF211DA707A341F153B3.txt

Содержимое файла:

3d874ab7b199418a90142583690481639eb1f1472f4da5aa1ab5bcca1b0df53

comodoca.com

Валидация организации (OV - Organization validation)

Для проведения OV, следует выполнить три этапа.

Этап 1.

Выполнить валидацию домена (DV). Способы описаны выше.

Этап 2.

Непосредственно валидация организации. Несколько способов:

• Центр сертификации самостоятельно проверяет существование организации через госреестры организаций;

• Открытые реестры данных, например, Companies House GOV.UK, Lursoft.lv, Duns & Bradstreet, Hoovers.

• Адрес организации следует подтвердить одним из следующих документов:

  • устав организации (с указанием адреса);

  • выданная правительством лицензия на ведение коммерческой деятельности (с указанием адреса);

  • копия выписки о состоянии банковского счета организации за последние 6 месяцев; (можно указать номер счета)

  • копия телефонного счета организации за последние 6 месяцев;

  • копия счета за коммунальные услуги организации за последние 6 месяцев или текущий договор аренды для организации.

• Нотариально заверенное письмо (Legal Opinion Letter).

Этап 3.

Сотрудники центра сертификации (зачастую робот) звонят для подтверждения подлинности запроса сертификата, а также для завершения процесса валидации.

Сертификат будет подписан и выпущен после успешного завершения всех шагов.

Расширенная валидация (EV - Extended validation ).

Этап 1

Заполняете формы центра сертификации. Специальные бланки вам будут предоставлены.

Этап 2

Валидация организации, процесс описан выше.

Этап 3

Валидация домена. Процесс описан в самом начале.

Этап 4

Как и в случае OV, сотрудники центра сертификации звонят для подтверждения подлинности запроса сертификата и завершения процесса валидации.

Сертификат будет подписан и выпущен после успешного завершения всех шагов.

Подборки SSL-сертификатов: DV сертификат для домена, EV сертификат "зеленая строка", WC сертификат для поддоменов, SAN мультидоменный сертификат.