Ogni volta che si richiede il rilascio, il rinnovo o il reissue di un certificato SSL, è necessario superare una procedura di validazione dominio ("DCV"), per mezzo della quale la Certification Authority verifica che il richiedente del certificato disponga effettivamente della gestione del dominio.
Scopo di questa misura (che è obbligatoria ed uguale per tutte le Certification Authority) è di evitare abusi, ovvero di rendere impossibile che una persona non autorizzata e che non disponga della piena gestione e controllo del dominio possa ottenere un certificato SSL per il dominio stesso.
Se il certificato è di tipo DV, questa procedura è sostanzialmente l'unica necessaria; se invece il certificato è di tipo OV o EV, allora alla verifica DCV seguiranno altre verifiche e controlli.
La procedura DCV può essere svolta in tre maniere differenti; la scelta del metodo è facoltà di chi richiede il certificato (anche se talvolta, in caso di dubbi, la Certification Authority può richiedere di effettuare o ri-effettuare la verifica in un'altra maniera.
verifica Email
Consiste nell'invio, da parte della Certification Authority, di un messaggio ad una casella predefinita associata al dominio, a scelta tra:
admin@dominio-da-certificare
administrator@dominio-da-certificare
webmaster@dominio-da-certificare
hostmaster@dominio-da-certificare
postmaster@dominio-da-certificare
Se l'utente sceglie questo metodo, potrà anche specificare la casella preferita tra le precedenti.
A tale indirizzo verrà inviata una mail con le istruzioni per procedere alla conferma del certificato (solitamente, si tratta di cliccare un link e di fornire successivamente conferma del fatto che è stato richiesto un certificato SSL)
Per maggiori dettagli, vedasi la relativa guida: Indirizzi email utilizzabili per la validazione di un certificato SSL
HTTP o HTTPS
Consiste nell'inserimento all'interno del sito, in una determinata posizione, di un file di testo fornito dalla C.A.
La C.A. verificherà automaticamente la presenza di questo file e, una volta riscontrata, la verifica sarà superata.
L'inserimento del file soltamente andrà fatto via FTP o (se disponibile sul server) via file manager.
Il file normalmente va inserito in una posizione del tipo:
www.dominiodacertificare.com/.well-known/pki-validation/
(fare attenzione al punto prima di well-known!!!)
Note:
- se il CSR è stato richiesto per il dominio www.dominiodacertificare.com, assicurarsi che il file sia accessibile all'URL senza www (http://dominiodacertificare.com/.well-known/pki-validation/)
Se il file è accessibile all'URL http://www.dominiodacertificare.com/.well-known/pki-validation/ ma non all'URL http://dominiodacertificare.com/.well-known/pki-validation/ , è possibile che il test non venga superato
- se sul dominio è già attivo un certificato SSL, per alcuni certificati è possibile che ciò vada specificato in fase di richiesta di DCV (in tal caso, vi verrà chiesto di scegliere tra validazione HTTP ed HTTPS)
In questo caso, verificare che il file sia effettivamente disponibile all'URL https://dominiodacertificare.com/.well-known/pki-validation/
- una volta inserito il file, potete verificare che lo stesso sia raggiungibile semplicemente navigando con qualsiasi browser al relativo indirizzo http://dominiodacertificare.com/.well-known/pki-validation/; se ciò non avviene, c'è qualcosa di errato.
- dopo che il file è stato inserito, entro un paio di ore la C.A. lo verificherà automaticamente; se ciò non avvenisse, significa che qualcosa non ha funzionato
DNS
Consiste nell'inserimento nei DNS del dominio di un determinato record di tipo CNAME, indicato dalla C.A.
Questo record DNS sarà del tipo
_159672f2e59c936a335e80a99d3f8542.dominiodacertificare.com CNAME 72CEFD494C27132BB21FC59F130AA235.E9A173E89C645482070F6010B4CBC30A.X5q7555oft5QV5BwRm66.comodoca.com
(il record precedente è un esempio per la C.A. Comodo; altre C.A. forniranno record leggermente diversi, ma rispettando sempre comunque la struttura di base).
Una volta inserito il record, la C.A. lo verificherà automaticamente, in un tempo che, essendo legato al fenomeno di propagazione dei DNS, può essere dell'ordine di alcuen ore (nota: l'utilizzo di server DNS di bassa qualità può comportare che siano necessarie anche 24h perché l'operazione si completi).
QUALE SISTEMA DI VALIDAZIONE SCEGLIERE?
Sono tutti e tre sostanzialmente equivalenti per efficacia, e tutti si possono concludere nell'arco di poche ore.
Se si ha il controllo del server email, e specificatamente di una delle caselle ammesse per la verifica, allora EMAIL è il metodo più efficiente.
Se si accede alla gestione del sito a mezzo FTP, allora può essere conveniente utilizzare la validazione a mezzo http o https
Se infine si ha accesso alla gestione dei DNS, il terzo metodo è quello preferibile.
Inoltre dipende dall'esperienza personale: se si ha esperienza di FTP ma non di gestione DNS, allora converrà indirizzarsi verso il primo anziché il secondo.