Alle kommerziellen Zertifizierungsstellen verlangen eine Domain Control Validation (DCV ), bevor sie ein SSL-Zertifikat ausstellen. Bislang konnten Sie eine von drei Methoden wählen, um den Besitz einer Domain zu bestätigen. Ab dem 15. November können Sie die HTTP/HTTPS-Hashing-Methode zur Validierung von Wildcard-Domains nicht mehr verwenden. Sie haben zwei Möglichkeiten:
- E-Mail-basierte Validierung
- DNS-basierte Validierung (CNAME-Validierung)
Bevor wir herausfinden, warum die Zertifizierungsstellen beschlossen haben, die dateibasierte Validierung für Wildcard-Zertifikate abzuschaffen, wollen wir kurz auf die einzelnen Methoden eingehen.
E-Mail-basiert
Dies ist die einfachste und beliebteste Methode zur Validierung Ihres Domänennamens. Alles, was Sie tun müssen, ist auf eine E-Mail zu antworten, die von der zuständigen Behörde an Ihre im WHOIS-Eintrag angegebene Adresse geschickt wird. Hier finden Sie eine Liste der zugelassenen E-Mails zum Nachweis des Domainbesitzes
CNAME-basiert
Bei dieser Methode müssen Sie einen eindeutigen CNAME-Eintrag in Ihrem DNS (Domain Name System) erstellen. Wenn Sie z. B. ein SSL-Zertifikat bei Sectigo bestellen, werden Sie gebeten, Ihren CNAME-Eintrag auf die Sectigo-Website zurückverweisen zu lassen.
Dateibasiert
Zertifizierungsstellen und Browser sind ständig bestrebt, den SSL-Ausstellungsprozess zu verbessern und kugelsicher zu machen. Nach der Reduzierung der SSL-Gültigkeit auf nur ein Jahr reduziert wurde, verbietet die jüngste Abstimmung die dateibasierte Validierung für Wildcard-Domains und Subdomains.
Stimmzettel SC45 der einstimmig vom CA/Browser Forum angenommen wurde, wirkt sich auf die dateibasierte DCV-Methode in folgender Weise aus
- Ab November werden Sie keine dateibasierte Authentifizierung für Wildcard-Zertifikate mehr durchführen können. Stattdessen müssen Sie eine E-Mail-basierte oder DNS-Authentifizierung verwenden.
- Bei Nicht-Wildcard-Zertifikaten ist die Domänenvalidierung für jeden FQDN/SAN einzeln erforderlich.
- Diese Richtlinienänderungen betreffen alle öffentlichen TLS/SSL-Zertifikate.
CA/B-Forum-Abstimmung SC45 tritt am 1. Dezember 2021 in Kraft, aber DigiCert und Sectigo, die führenden CAs, haben angekündigt, dass sie die Änderungen ab dem 15. November umsetzen werden.
Das bedeutet, dass alle Wildcard-Zertifikate, die vor dem 14. November ausgestellt wurden, weiterhin die dateibasierte Validierungsmethode unterstützen. Ab dem 15. November wird es jedoch nicht mehr verfügbar sein.
Warum die dateibasierte DCV-Methode Sicherheitsrisiken birgt
Laut CA/B Forum reicht die dateibasierte Domänenvalidierung nicht aus, um die Kontrolle über den gesamten Namensraum des FQDN (vollqualifizierter Domänenname) nachzuweisen, einschließlich aller Domänen und Subdomänen, die innerhalb dieses Namensraums existieren.
So können Sie beispielsweise die Kontrolle über yourdomain.com haben, aber *.yourdomain.com könnte auf einem anderen Server gehostet werden, auf den Sie keinen Zugriff haben. Theoretisch könnte ein Phisher oder Hacker eine solche Domäne validieren und sie für Cyberangriffe nutzen.
Schlussfolgerung
Wenn Sie die dateibasierte DCV-Methode zum Erhalt von Wildcard-Zertifikaten verwendet haben, müssen Sie zu einer der beiden anderen Optionen wechseln, entweder zur E-Mail-basierten oder zur CNAME-basierten Validierung. Die HTTP-Validierung gilt nicht mehr für Wildcard-Domains und SAN-Subdomains wie *.yourdomain.com oder yourdomain.com und blog.yourdomain.com für SANs. Im Falle von SANs müssen Sie die dateibasierte Validierung für jede SAN-Domäne separat durchführen.
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10
