Informazioni commerciali +39 0575 05077
  Assistenza telefonica +39 0575 0508
Certificati SSL > 5 - Gestione Certificato SSL > Come validare un dominio

5.5 Come validare un dominio

 

Perchè validare un dominio

La validazione del dominio (Domain Control Validation o DCV) serve a dimostrare alla Certification Authority (CA) di avere il controllo di tutti i domini (FQDN) da includere nel Certificato.

 

Come validare un dominio

Per validare un dominio è necessario seguire tutti gli step indicati nella guida; arrivati allo step 4, indicare nella sezione Domini da certificare:
  • il nome del dominio a cui si intende associare il Certificato SSL acquistato (recuperato in automatico dalla CSR inserita in precedenza);
     
    Per aggiungere altri domini in caso di Certificato SSL di tipo SAN è necessario cliccare sul pulsante Aggiungi dominio così da poter inserire il nome del dominio aggiuntivo ed il metodo di validazione desiderato. 
     
    ATTENZIONE: Questo è l'unico punto della procedura in cui è possibile aggiungere ulteriori domini. 
  • il metodo di validazione che si intende utilizzare, a scelta tra quelli disponibili:
    • email all'amministratore del dominio (email-admin)
    • email a un contatto del dominio (email-contact)
    • pubblicazione file su server HTTP (website-change) - non disponibile per tipologia WildCard
    • creazione record TXT sul dominio (dns-change)
    • consultazione del database dei domini Aruba (query-aruba) - SOLO per OV ed EV


       
      La gamma dei metodi supportati per la validazione dei domini può cambiare a seguito di cambiamenti normativi (per es. un aggiornamento dei Baseline Requirements del CAB Forum) e/o nel caso in cui si dimostri che alcuni metodi sono vulnerabili a qualche attacco di sicurezza.

      Di seguito il dettaglio dei metodi di validazione selezionabili:
       
      Selezionando questo metodo la CA invia un'email all'amministratore del dominio da validare (oppure di un dominio di livello superiore) a una delle caselle privilegiate standard, ovvero del tipo: [email protected], [email protected], [email protected], [email protected], [email protected] 


      L'email contiene un link univoco (valido per 30 giorni) che il ricevente deve cliccare, seguendo poi le istruzioni mostrate dal browser.
       
      Per i Single Domain:
      Se come Nome dominio è stato indicato il nome del dominio senza www (del tipo "example.com"), il Certificato comprenderà anche il dominio con www (del tipo "www.example.com"), e viceversa.

      La CA attende che il Richiedente legga tale email e proceda nel modo atteso, così da confermare il controllo del dominio.
       
      É importante essere sicuri di riuscire ad accedere alla casella email indicata.


      Questo metodo è simile al precedente, con la differenza che l'email viene inviata ad una casella di posta elettronica ricavabile dal record WHOIS del dominio.


      Questo metodo presuppone che nell'output del comando WHOIS sia presente almeno una casella email. Se l'email è visibile solo con altre modalità di interrogazione, per es. attraverso il sito web del registrar, questo metodo richiede l'intervento manuale di un operatore della CA, col conseguente allungamento del processo.
      L'email contiene un link univoco (valido per 30 giorni), che il ricevente deve cliccare, seguendo poi le istruzioni mostrate dal browser.
       
      Per i Single Domain:
      Se come Nome dominio è stato indicato il nome del dominio senza www (del tipo "example.com"), il Certificato comprenderà anche il dominio con www (del tipo "www.example.com"), e viceversa.

      La CA attende che il Richiedente legga tale email e proceda nel modo atteso, così da confermare il controllo del dominio.
       
      É importante essere sicuri di riuscire ad accedere alla casella email indicata.

      Questo metodo è supportato, ma non raccomandato.


      Selezionando questo metodo la CA invia un'email all'amministratore del dominio da validare, contenente una stringa univoca (valida per 30 giorni).

       
      Per dimostrare il controllo del dominio, il Richiedente deve creare un file di testo .txt (nominato "actalis.txt") che contenga la stringa di testo riportata nell'email ricevuta; questo file dovrà poi essere pubblicato sul server HTTP del dominio da validare (oppure di un dominio di livello superiore), al seguente URL:
      http(s)://dominio/.well-known/pki-validation/actalis.txt
      Importante: all'interno del file non dovranno essere presenti spazi nè ritorni a capo. 
       
      Per i Single Domain:
      Se come Nome dominio è stato indicato il nome del dominio senza www (del tipo "example.com"), il sistema richiederà se si intende richiedere il Certificato anche per il dominio con www (del tipo "www.example.com"), e viceversa:


      Nel caso in cui venga scelto di validare entrambi i domini, sarà inviata una mail per ciascun dominio scelto: ogni mail conterrà la specifica stringa per quel determinato dominio.

      La validazione sarà terminata solo quando sarà pubblicato ciascun file nel rispettivo indirizzo.

      Se il Richiedente non può tecnicamente pubblicare 2 file diversi ai 2 percorsi, la validazione tramite website-change non è possibile: dovrà quindi essere selezionato un diverso metodo di validazione.

      Per la creazione del file di testo actalis.txt si raccomanda di utilizzare un editor di testo semplice (es. Notepad o simile).
       
      Da ricordare:
      • il file "actalis.txt" deve essere pubblicato solo al percorso sopra indicato (si tratta di uno standard);
      • il punto "." prima di "well" non è un errore: è indispensabile;
      • non vengono seguiti i redirect HTTP.

      La CA verificherà automaticamente la presenza del file "actalis.txt" sul server al percorso indicato, verificandone anche il contenuto.
       

      Per dimostrare il controllo del dominio, il Richiedente deve inserire un record TXT sul pannello DNS del dominio da validare (oppure un dominio di livello superiore).

      Il record TXT deve avere il seguente valore:
      "actalis-dcv=confirmationValue"
      dove confirmationValue è un valore univoco di conferma generato dalla CA: questo valore viene trasmesso per email al Riferimento Tecnico del Richiedente a cura del team di Assistenza Clienti di Actalis (nel caso di richiesta via email) oppure visualizzato al Richiedente (nel caso di richiesta via web) ed ha una validità di 30 giorni.

      Per verificare la corretta pubblicazione del record TXT, si può utilizzare il comando "nslookup" (in ambiente Windows) oppure "dig" (in ambiente Linux).
       
      Per i Single Domain:
      Se come Nome dominio sia stato indicato il nome del dominio senza www (del tipo "example.com"), il Certificato comprenderà anche il dominio con www (del tipo "www.example.com"), e viceversa.

      La CA verificherà automaticamente la presenza del record TXT per il dominio.


      Questo metodo è utilizzabile solo per i domini registrati e gestiti da Aruba.
       
       
      Per i Single Domain:
      Se come Nome dominio è stato indicato il nome del dominio senza www (del tipo "example.com"), il Certificato comprenderà anche il dominio con www (del tipo "www.example.com"), e viceversa.

      In questo caso, non è richiesta alcuna azione particolare da parte del Richiedente per dimostrare il controllo del dominio in esame: sarà infatti la CA a consultare il database dei domini gestiti da Aruba S.p.A per eseguire la verifica.
      La validazione in questo caso può richiedere alcune ore.
Una volta indicati i dati richiesti, cliccare su Invia: si riceverà l'email con le istruzioni da seguire per la validazione del dominio in relazione alla scelta indicata.
 
In caso di gestione del Certificato SSL di tipo EV è importante:
  1. scaricare il modulo "Accordo di servizio" cliccando sul pulsante Scarica documento PDF;
  2. firmare digitalmente tale documento;
  3. inviarlo come allegato all'indirizzo email [email protected]

La validazione è uno dei passaggi necessari all'ottenimento del certificato SSL ma non è l'unico; è infatti importante seguire tutte le operazioni riportate nella guida dedicata.  
 
Note importanti:
  • La validazione dei domini deve completarsi entro 30 giorni solari, allo scadere dei quali la validazione si considera fallita.
  • Una volta superata con successo la validazione, il dominio resta valido per 12 mesi; durante questo lasso di tempo il Richiedente può ottenere uno o più Certificati contenenti quel dominio senza necessità di ulteriori validazioni; allo scadere dei 12 mesi dall'ultima validazione, per ottenere ulteriori Certificati contenenti quel dominio è indispensabile superare una nuova validazione.