Bei der Bestellung und der Verlängerung eines TLS/SSL-Zertifikates wird immer überprüft, ob der Antragsteller für das Zertifikat auch der Inhaber der Domain ist. Vor der Einführung der DSGVO wurde dies meist mit einem Abgleich der Whois-Daten gemacht. Da dies durch die DSGVO nun nicht mehr ohne weiteres bzw. gar nicht mehr möglich ist, haben die CAs nun drei neue Authentifizierungs-Methoden eingeführt.

Im SSL Manager wählst Du die Authentifizierungs-Methode während des Bestellprozesses im Formularabschnitt Authentifizierungs-Einstellungen aus. Diese Methoden werden für die Authentifizierung angeboten.

• EMAIL
• DNS
• FILE

EMAIL

Die CA sendet eine Authentifizierungs-E-Mail an den Antragsteller. Dafür verwendet die CA eine der fünf Alias-E-Mail-Adressen, die Du bei der Bestellung im SSL Manager ausgewählt hast. Zur Auswahl stehen:

• admin@example.com
• administrator@example.com
• hostmaster@example.com
• postmaster@example.com
• webmaster@example.com

Handelt es sich um eine Zertifikatsbestellung für eine Subdomain innerhalb des Common Names, z.B. shop.example.com, stehen neben den obigen Alias-E-Mail-Adressen identische Postfächer unterhalb der Subdomain zur Auswahl:

• admin@shop.example.com
• administrator@shop.example.com
• hostmaster@shop.example.com
• postmaster@shop.example.com
• webmaster@shop.example.com

Die E-Mail, die die CA an die gewählte E-Mail-Adresse schickt, enthält einen Link, der Dich zur Bestätigungsseite führt. Klicke den Link an und bestätige dort die Daten. Damit ist die Authentifizierung abgeschlossen.

Bei Zertifikaten mit mehreren Domains (SANs) wird je FQDN eine E-Mail zur Bestätigung versendet. Die Domain Control Validation ist erst mit Bestätigung aller im Zertifikat angegebenen Domains abgeschlossen.

Ein Neuversand der Authentifizierungs-E-Mail kann jederzeit über den SSL-Manager in der Auftragsverwaltung über den Button Tools → Bestätigungs-E-Mail neu versenden angestossen werden.

DNS

Bei dieser Authentifizierungsmethode muss in der Zone der Domain ein zusätzlicher DNS-Resource-Record angelegt werden. Die Werte des Eintrages werden im SSL Manager angezeigt, wenn die Authentifizierungsmethode DNS ausgewählt wurde. Nach dem Abschicken der Zertifikatsantrages fragt die CA die Zone der Domain im Domain Name System auf diesen speziellen Eintrag hin ab. Ist der Eintrag vorhanden und korrekt, wird die Authentifizierung abgeschlossen.

Wenn die Domain über von InterNetX verwaltete Nameserver aufgelöst wird und Du Deinen SSL Manager mit dem AutoDNS verknüpft hast, kann der zur Authentifizierung notwendige DNS-Eintrag mittels automatischer Zonenprovisionierung von unserem System automatisch in die Zone eingetragen werden.

Bei Zertifikaten mit mehreren Domains (SANs) muss je FQDN der im SSL Manager angezeigte DNS-Resource-Record in der jeweiligen Zone hinterlegt werden. Die Domain Control Validation ist erst mit der Authentifizierung aller im Zertifikat angegebenen Domains abgeschlossen.

Beispiel DigiCert:

300 IN TXT "2020022813545049ntlwc1jhic911eicvqn0fk6q2zv4huzexz8si5p4jrj7jtst"

Beispiel Comodo:

300 IN CNAME 98ece627031af27a45fa3551cc060a57.da0f1240b6e3744e87b2182b56d98aeb.3p1e6w2n.comodoca.com.

Die Prüfung des DNS-Resource-Records durch die CA erfolgt intervallmäßig und mehrmals innerhalb 24 Stunden nach Auftragsstart. Um die Authentifizierung möglichst zügig abzuschließen empfehlen wir, den Zoneneintrag bestenfalls direkt mit dem Absetzen des Zertifikatsauftrags zu hinterlegen. Bei Nutzung unserer SSL-API hilft Dir unsere Echtzeitausstellung.

FILE

Bei dieser Authentifizierungsmethode wird auf dem Webserver im Verzeichnis der Domain eine Datei gespeichert, mit der die CA die Inhaberschaft einer Domain prüft. 

Bestelle hierzu wie üblich ein Zertifikat. Nachdem der Auftrag von der CA angenommen wurde, wechsel in die Auftragsverwaltung. Wähle den entsprechenden Auftrag aus. In den Auftragsdetails, die Du mit der Schaltfläche Info aufrufen kannst,  findest Du im Registerblatt  Status unter dem Punkt Authentifizierung die Informationen zu Name, Pfad und Inhalt der benötigten Datei.
Erstelle mit diesen Werten auf dem Webserver im Verzeichnis der Domain diese Datei.  Rufe die Datei anschließend im Browser auf, um zu prüfen, ob alles korrekt erstellt wurde. Die CA prüft nun mehrfach, ob die Datei korrekt gesetzt wurde. Die Authentifizierung ist mit erfolgreicher Prüfung der Datei abgeschlossen. Die Datei kann anschließend wieder gelöscht werden.

Lege den Eintrag ausschließlich für die Domain an, die Dir in den Auftragsdetails angezeigt wird. Bitte beachte außerdem, dass serverseitig keine automatische URL-Weiterleitung auf die www-Subdomain für den angezeigten Pfad erfolgen darf.

Beispiel DigiCert:

FILENAME: 
/.well-known/pki-validation/fileauth.txt

FILE CONTENT:
2018112007555401i23owspz4su5ry9q31j6rlhw89e4wwd2tz8jt9a0rpl36u1n

Beispiel Sectigo:

FILENAME:
/.well‐known/pki‐validation/7B01CAC706906D6B85AB18XE73307BAB.txt

FILE CONTENT:
be7c69cc03k36c69fd5e4f91256327487500bd4a507f14ab765d7fa2c8e1ebc7
comodoca.com