Wie besteht man die Domain Control Validation (DCV)?

Zuletzt aktualisiert am von Dionisie Gitlan
Domain Control Validation

Domain Control Validation (DCV) hilft, die unberechtigte Ausstellung von SSL-Zertifikaten zu verhindern. Ohne sie ist die SSL-Aktivierung nicht möglich. Dieser Leitfaden behandelt das DCV-Verfahren und zeigt Ihnen, wie Sie es auf verschiedene Weise bestehen können. Verwenden Sie die DCV-Methode für SSL-Zertifikate, die Ihren Fähigkeiten und Ihrer Situation am besten entsprechen.

Inhaltsübersicht

  1. Was bedeutet Domain Control Validation (DCV)?
  2. Was sind die DCV-Methoden?
  3. Letzter Schritt: Überprüfen Sie den CAA-Rekord
  4. Schlussfolgerung

Was bedeutet Domain Control Validation (DCV)?

Die Validierung der Domänenkontrolle ist eine der Überprüfungen, die die Zertifizierungsstellen durchführen, um festzustellen, ob die Person, die ein SSL-Zertifikat beantragt, Eigentümer der Domäne ist oder über Administratorrechte für diese verfügt. Jeder Antragsteller muss das DCV bestehen, bevor er das SSL-Zertifikat von der CA erhält. Es ist kein Papierkram erforderlich, und das Verfahren ist unkompliziert.

Was sind die DCV-Methoden?

Um sicherzustellen, dass Sie über Administratorrechte für die zu verschlüsselnde Domäne verfügen, bieten die CAs drei DCV-Methoden an. Wir werden sie im Detail erforschen.

1. E-Mail-Validierung

Die beliebteste und einfachste Art, ein SSL-Zertifikat zu validieren, ist per E-Mail. Die Zertifizierungsstelle sendet Ihnen eine Genehmigungs-E-Mail an die WHOIS- oder domänenbasierte E-Mail-Adresse mit dem Validierungscode. Öffnen Sie den Link in der E-Mail und fügen Sie den Validierungscode ein, um das DCV zu bestehen. Der gesamte Prozess ist automatisiert und sollte weniger als 5 Minuten dauern, um ein Domainvalidierungszertifikat zu erhalten.

Nur bestimmte Domain-basierte oder Ihre Kontakt-E-Mail-Adresse von WOIS ist für die DCV-E-Mail-Methode geeignet. Das Problem mit WHOIS-E-Mails ist, dass sie aus Gründen des Datenschutzes in der Regel versteckt sind und die Zertifizierungsstellen sie nicht sehen können. Wenn Sie Ihre WHOIS-E-Mail-Adresse nicht kennen, überprüfen Sie Ihr Domain-Kontrollfeld oder wenden Sie sich an Ihren Domain-Registrar.

Alternativ können Sie auch eine der folgenden vorab genehmigten domänenbasierten E-Mail-Adressen verwenden:

Bitte ersetzen Sie @yoursite.com durch Ihren Domänennamen.

Sie haben die Bestätigungs-E-Mail nicht erhalten? Das ist zu tun:

  1. Überprüfen Sie Ihren Spam- und Junk-Ordner. E-Mail-Filter könnten die CA-E-Mail fälschlicherweise als Spam markieren.
  2. Überprüfen Sie Ihre E-Mail-Adresse. Achten Sie darauf, dass die Adresse akzeptabel ist und keine Tippfehler enthält.
  3. Senden Sie Ihre E-Mail erneut.
  4. Wenn nichts funktioniert, wenden Sie sich an Ihren SSL-Anbieter.

Ich habe eine E-Mail-Adresse ausgewählt, die es nicht gibt…

Wenn Sie eine nicht existierende E-Mail-Adresse gewählt haben, geraten Sie nicht in Panik. Für unerfahrene Administratoren ist es eine hübsche Sache, eine domänenbasierte E-Mail-Adresse einzugeben, die noch nicht erstellt worden ist. Die Lösung ist einfach:

  1. Gehen Sie zu Ihrem Hosting-Dashboard und erstellen Sie die Domain-basierte E-Mail-Adresse, die Sie für die Validierung angegeben haben.
  2. Senden Sie die Genehmigungs-E-Mail erneut.

Wichtig! Ab dem 16. Juni 2021 akzeptiert Sectigo keine WHOIS-basierten E-Mail-Adressen mehr für die Domain Control Validation (DCV).

2. DNS-Validierung

Die DNS-Validierung ist eine eher technische Methode. Dazu müssen Sie in den DNS-Einstellungen Ihrer Domain einen CNAME-Eintrag erstellen (eine Art DNS-Eintrag, der einen Alias-Namen auf einen kanonischen Namen für eine Domain abbildet).

Einfach ausgedrückt, ist DNS (Domain Name System) eine Art Telefonbuch für das Internet, das Webbrowser mit Websites verbindet. Es übersetzt menschenlesbare Domänennamen wie deine-seite.de in maschinenlesbare IP-Adressen wie 89.145.93.29 zum Beispiel.

Wenn Sie die DNS-Methode wählen, erhalten Sie eindeutige Validierungsdatensätze für Ihre Bestellung. Sie finden den Datensatz in Ihrem SSL-Anbieterkonto.

Bei der SSL-Validierung prüft Ihre Zertifizierungsstelle, ob der Antragsteller des SSL-Zertifikats der rechtmäßige Inhaber der Domain ist. Eine Methode, mit der eine Zertifizierungsstelle den Besitz einer Domäne überprüfen kann, besteht darin, nach einem DNS-TXT-Eintrag mit einem bestimmten Wert zu suchen. Die Zertifizierungsstelle teilt Ihnen einen eindeutigen Wert mit, den Sie dem DNS-TXT-Eintrag hinzufügen müssen, und überprüft dann, ob der Eintrag diesen Wert enthält. Durch die Überprüfung des DNS-TXT-Eintrags kann die CA sicher sein, dass die Domäne Ihnen gehört.

Nach der Aktivierung des SSL-Zertifikats müssen Sie die vordefinierten Werte des Domäneneintrags zu Ihrer Domänenregistrierungsstelle hinzufügen (die Website, auf der Sie Ihren Domänennamen registriert haben). Stellen Sie sicher, dass Ihre Firewall den Validierungsroboter der CA nicht blockiert.

  1. Melden Sie sich bei Ihrem Domain-Registrar-Konto an und gehen Sie zu den DNS-Einstellungen Ihrer Domain.
  2. Erstellen Sie den CNAME-Eintrag unter Verwendung des Domäneneintragswertes aus Ihrem Anbieterkonto.
  3. Legen Sie die minimal verfügbare TTL (Time to Live) für den Datensatz fest, um lange Verzögerungen bei der Weitergabe des Datensatzes oder eine fehlerhafte Erstellung zu vermeiden.

Überprüfen Sie Ihren CNAME-Eintrag

Sectigo und GoGetSSL erfordern einen CNAME DNS-Typ, der wie folgt aussieht:

_b2013ea8353c9760c0221c49dc3e8ca7.yourwebsite.com CNAME

165b83449f4fdf83021de4e6f6ee795a.4ae75dbefe3r7bb8a1878616d8b5ae4.5r4r46855d28f6903.comodoca.com.

DigiCert, Thawte, GeoTrust und RapidSSL benötigen den DNS-Typ TXT, der wie folgt aussieht:

yourwebsite.com TXT “w34f54t4t45t354eer98rn4jf4449nfrf”

oder

dnsauth.yourwebsite.com TXT “w34f54t4t45t354eer98rn4jf4449nfrf”.

Hier ist ein Tool, das Ihren CAME-Eintrag überprüft und das gleiche Tool für den TXT-Typ . So stellen Sie sicher, dass Sie den Datensatz richtig angelegt haben.

Ich habe den CNAME-Eintrag eingerichtet, wie geht es weiter?

Neu hinzugefügte DNS-Einträge brauchen bis zu 72 Stunden, um sich weltweit zu verbreiten, obwohl es normalerweise nur ein paar Stunden dauert. Aus diesem Grund kann es bis zu drei Tage dauern, bis der Aktivierungsprozess abgeschlossen ist. Im Allgemeinen sind die beiden anderen Optionen besser geeignet, wenn Sie ein Domainvalidierungszertifikat bestellen und es innerhalb weniger Minuten verfügbar haben möchten.

HTTP/HTTPS-Prüfung

Wichtig! Diese Methode ist nicht mehr verfügbar bei der Validierung von Wildcard SSL-Zertifikaten.

Bei dieser Methode müssen Sie die TXT-Validierungsdatei in das Verzeichnis Ihrer Domain hochladen. Stellen Sie sicher, dass Sie über Ihr Dashboard oder FTP eine Verbindung zu Ihrem Hosting-Account herstellen können und dass Ihre CA von jedem Webbrowser aus darauf zugreifen kann.

Die CA wird Ihre Website scannen und unter dem angegebenen Link nach dieser Datei suchen. Sobald der Crawler der Zertifizierungsstelle die TXT-Datei auf Ihrer Website findet, wird Ihr SSL-Zertifikat die Domainvalidierung bestehen.

Die HTTPS-Validierungsmethode ist dieselbe wie oben beschrieben. Sie sollten die HTTPS-Option wählen, wenn Sie bereits ein SSL-Zertifikat auf Ihrer Website haben.

Woher bekomme ich die Validierungsdatei?

Sie finden die Validierungsdatei im Konto Ihres Lieferanten, nachdem Sie die dateibasierte Option gewählt haben. Die Validierungsdatei ist eine .txt-Datei mit einem Namen aus Zahlen und Buchstaben (Beispiel: B4DS4C5H73UFGJDHJ.txt).

Nachdem Sie die Validierungsdatei heruntergeladen haben, müssen Sie sie auf Ihren Hosting-Server/Panel hochladen. Sie sollten die Datei in das Verzeichnis “.well-known” und den Unterordner “pki-validation” des Dokument-Stammverzeichnisses für den Domänennamen.

Infolgedessen sollte die Validierungsdatei über den angeforderten Pfad für die Validierung zugänglich sein: http://yoursite.com/.well-known/pki-validation/B4DS4C5H73UFGJDHJ.txt.

3. Markenvalidierung

In einigen seltenen Fällen kann die zuständige Behörde eine manuelle Domänenvalidierung, auch bekannt als Markenvalidierung, verlangen. Es dauert bis zu 48 Stunden, um diese manuelle Prüfung zu bestehen, und die zuständige Behörde wird in solchen Fällen entweder einen Auftrag erteilen oder ablehnen. Hier sind die häufigsten Gründe dafür, dass Ihre Bestellung der Markenvalidierung unterliegt:

  • Der Domänenname steht auf der schwarzen Liste oder hat einen fragwürdigen Ruf.
  • Der Domänenname enthält Stoppwörter wie “online”, “sicher”, “Zahlung”, “Bank” und viele andere, die vom Validierungssystem automatisch abgelehnt werden; daher ist eine manuelle Überprüfung erforderlich.
  • Der Domänenname kann einen versteckten Markennamen enthalten. Ihre Domäne lautet beispielsweise “sibmama.com”, aber das automatische Validierungssystem könnte sie als “sIBMama” lesen und die Marke “IBM” für eine manuelle Überprüfung kennzeichnen.
  • Ihre Bestellung kommt aus einem eingeschränkten Land.

Letzter Schritt: Überprüfen Sie den CAA-Rekord

Ab dem 8. September 2017 müssen alle Zertifizierungsstellen (CAs ) als Sicherheitsmaßnahme Ihre CAA-Richtlinie einhalten.

Der CAA-Eintrag sollte es der CA erlauben, das SSL für Ihren Domänennamen auszustellen; andernfalls wird der Auftrag als “Pending” (ausstehend) festgelegt, bis Sie den Eintrag aktualisieren.

Wenn kein CAA-Eintrag vorhanden ist, kann jede CA standardmäßig SSL für Ihren Domainnamen ausstellen. Andernfalls sollten Sie Ihren CAA-Eintrag aktualisieren.

Schlussfolgerung

Zusammenfassend lässt sich sagen, dass die Validierung der Domänenkontrolle unerlässlich ist, um die Sicherheit der Webkommunikation zu gewährleisten, die Benutzer vor potenziellen Risiken zu schützen und die unberechtigte Ausstellung von Zertifikaten zu verhindern. Mit den verschiedenen verfügbaren Validierungsmethoden ist DCV relativ schnell und einfach. Dies ist ein notwendiger Schritt für jeden Website-Besitzer, der ein für die Domain-Kontrolle validiertes SSL-Zertifikat erhalten und eine sichere Online-Präsenz aufbauen möchte.

Häufig gestellte Fragen

Wie lange dauert die DCV-Validierung?

Die Dauer des DCV-Validierungsprozesses kann je nach der gewählten Validierungsmethode und der Reaktionsfähigkeit des Domäneninhabers variieren. Im Vergleich zur Business Validation, die 1-2 Tage dauert, bestehen die Benutzer das DCV in den meisten Fällen in nur wenigen Minuten.

Link kopieren

Was passiert, wenn das DCV ausfällt?

Wenn die DCV fehlschlägt, kann das SSL-Zertifikat nicht ausgestellt werden, und der Domaininhaber muss Korrekturmaßnahmen ergreifen, um das Problem zu beheben. Sie sollten die Autorisierungs-E-Mail-Adresse oder den DNS-Eintrag überprüfen und sicherstellen, dass sich die Datei am richtigen Ort befindet und dass die Website zugänglich ist.

Link kopieren

Was ist die einfachste DCV-Methode?

Die einfachste DCV-Methode ist in der Regel die E-Mail-Validierung. Die E-Mail-Methode ist einfach und erfordert keine technischen Kenntnisse oder Änderungen an der Website oder der DNS-Konfiguration. Aber auch andere DCV-Methoden sind einfach, wenn Sie über Grundkenntnisse im DNS- und Hosting-Management verfügen.

Link kopieren

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!

Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

Jetzt 10 % sparen!
Geschrieben von

Erfahrener Content-Autor, spezialisiert auf SSL-Zertifikate. Verwandeln Sie komplexe Cybersicherheitsthemen in klare, ansprechende Inhalte. Tragen Sie durch wirkungsvolle Narrative zur Verbesserung der digitalen Sicherheit bei.

Verwandte Beiträge
.well-known Folder
Was ist der .well-known-Ordner und wie wird er erstellt?
SSL Certificate Formats
Ein vollständiger Leitfaden zu SSL-Zertifikatsformaten und Konvertierungswerkzeugen
Best Practices to Store the Private Key
Bewährte Praktiken zum Speichern des privaten Schlüssels
How to Add an SSL Certificate to a Website
Hinzufügen eines SSL-Zertifikats zu einer Website
SSL Certificate Best Practices
7 bewährte Praktiken für SSL-Zertifikate im Jahr 2023