Bereich Validierung

Alle Aktualisierungen Allgemein Änderungen Bereich Validierung Business-Validierung Code-Signierung CPAC CSR-Code CSR-Generator DigiCert Einrichtung Erneuerung Erweiterte Validierung Konfiguration Mehrere Bereiche Platzhalter Privater Schlüssel S/MIME SSL-Zertifikate installieren Tutorials zur CSR-Generierung Typen Zertifizierungsstellen
Wie besteht man die Bereichsvalidierung?

Wenn Sie ein SSL-Zertifikat beantragen, müssen Sie nachweisen, dass Sie Eigentümer der Domain oder Subdomain sind, für die Sie ein SSL-Zertifikat beantragen, oder dass Sie die Verwaltungsrechte für diese Domain oder Subdomain haben.

Wichtig! Ab dem 16. Juni 2021 akzeptiert Sectigo keine WHOIS-basierten E-Mail-Adressen mehr für die Domain Control Validation (DCV).

SCHRITT 1: Bereichsvalidierung (DV)

A. EMAIL

Wenn Sie ein SSL-Zertifikat besitzen, das von Sectigo, GoGetSSL, GeoTrust, Thawte, DigiCert und RapidSSL ausgestellt wurde, können Sie die Domainvalidierung abschließen, indem Sie auf eine automatische Domainvalidierungsnachricht antworten, die an Ihre E-Mail-Adresse gesendet wird. Sie erhalten eine Liste von E-Mail-Adressen, aus der Sie auswählen können, und die automatische Nachricht zur Domainvalidierung wird an die von Ihnen gewählte E-Mail-Adresse gesendet.

Überprüfen Sie immer Ihre E-Mail-Adresse (einschließlich Ihres Spam-Ordners), damit Sie eine E-Mail-Nachricht von der Zertifizierungsstelle mit Anweisungen zur Validierung (zum Nachweis des Eigentums) Ihres Domänennamens erhalten. In der E-Mail-Nachricht werden Sie aufgefordert, einen eindeutigen Code zu kopieren und ihn über einen bestimmten Link in derselben E-Mail-Nachricht einzufügen.

Wichtig! Es sind nur 5 E-Mail-Adressen für die Domänenvalidierung zulässig: admin@, administrator@, hostmaster@, webmaster@ und postmaster@.
In einigen Fällen kann die Zertifizierungsstelle auch Ihre administrative E-Mail über WHOIS zulassen, aber NUR, wenn die private Registrierung deaktiviert ist.

B. HTTP/HTTPS-Verfahren

Diese Methode ist für Wildcard SSL-Zertifikate nicht verfügbar.

Die HTTP-Validierung besteht aus dem Hochladen einer TXT-Validierungsdatei an einen vordefinierten Ort auf Ihrer Website. Sie müssen sicherstellen, dass Sie diese Datei und den Link von jedem Webbrowser aus aufrufen können. Sobald Sie mit dieser Methode der Domainvalidierung fortfahren, führt die Zertifizierungsstelle einen Scan Ihrer Website durch und sucht insbesondere nach dieser Datei unter dem angegebenen Link. Ihr SSL-Zertifikat besteht die Domainvalidierung innerhalb weniger Minuten, nachdem das Crawler-System der CA die TXT-Datei auf Ihrer Website gefunden hat.

Die HTTPS-Validierungsmethode ist die gleiche wie die oben beschriebene Methode. Sie sollten die Option HTTPS wählen, wenn Sie bereits ein SSL-Zertifikat auf Ihrer Website installiert haben.

C. DNS-Verfahren

Sie können auch einen vordefinierten Domäneneintrag zu Ihrer Domänenregistrierungsstelle hinzufügen (die Website, auf der Sie Ihren Domänennamen registriert haben). Stellen Sie sicher, dass Ihre Firewall den Validierungsroboter der CA nicht blockiert.

Sectigo und GoGetSSL benötigen den DNS-Typ CNAME, der wie folgt aussieht:

_b2013ea8353c9760c0221c49dc3e8ca7.yourwebsite.com CNAME
165b83449f4fdf83021de4e6f6ee795a.4ae75dbefe3r7bb8a1878616d8b5ae4.5r4r46855d28f6903.comodoca.com

während DigiCert (Thawte, GeoTrust, RapidSSL) den DNS-Typ TXT verlangen, der wie folgt aussieht:

yourwebsite.com TXT “w34f54t4t45t354eer98rn4jf4449nfrf”

oder

dnsauth.yourwebsite.com TXT “w34f54t4t45t354eer98rn4jf4449nfrf”

Bitte beachten Sie, dass neu hinzugefügte DNS-Einträge zwischen 10 und 48 Minuten brauchen, um sich zu verbreiten. Das bedeutet, dass Sie bis zu 48 Stunden warten müssen, um die Domänenvalidierung zu bestehen, wenn Sie sich für diese Methode entscheiden. Deshalb empfehlen wir die E-Mail-, HTTP- und HTTPS-Methoden, weil sie es Ihnen ermöglichen, die Domainvalidierung sofort zu bestehen.

SCHRITT 2: CAA-Check

Seit dem 8. September 2017 sind alle Zertifizierungsstellen (CAs) verpflichtet, Ihre CAA-Richtlinie als Sicherheitsmaßnahme zu respektieren.

Der CAA-Eintrag sollte es der Zertifizierungsstelle ermöglichen, das SSL für Ihren Domänennamen auszustellen, andernfalls würde der Auftrag als “Pending” (ausstehend) eingestellt, bis Sie den Eintrag aktualisieren.

Wenn kein CAA-Eintrag gefunden wird, kann jede CA standardmäßig SSL für Ihren Domainnamen ausstellen. Andernfalls sollten Sie Ihren CAA-Eintrag aktualisieren.

So wird es gemacht:
https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000zFMO
https://docs.digicert.com/manage-certificates/dns-caa-resource-record-check/

So können Sie den Datensatz testen:
https://toolbox.googleapps.com/apps/dig/#CAA/
https://caatest.co.uk/scan.org.ua

Optional (selten) – Markenvalidierung (manuelle Prüfung)

In einigen Fällen können die Zertifizierungsstellen eine manuelle Überprüfung verlangen, wenn Ihre Bestellung die internen Regeln der Markenvalidierung nicht erfüllt.

Es dauert etwa 24-48 Stunden, bis diese manuelle Prüfung abgeschlossen ist, und die zuständige Behörde wird in solchen Fällen entweder einen Auftrag erteilen oder ablehnen.

Hier sind die Gründe, warum Ihre Bestellung unter Markenvalidierung steht.


Wie ändert man die Methode der Domänenvalidierung?

Wenn Sie eine der oben beschriebenen Methoden zur Domainvalidierung gewählt haben und feststellen, dass Ihre Domain nicht validiert wird, können Sie Ihre Domainvalidierungsmethode jederzeit ändern. Wie das geht, erfahren Sie unter diesem Link.

Link kopieren

Wie besteht man die IP-Prüfung für eine öffentliche IP-Adresse?

Bestimmte SSL-Zertifikate ermöglichen es Ihnen, eine IP-Adresse zu sichern, allerdings nur, wenn es sich um eine öffentliche IP-Adresse handelt. Der Validierungsprozess für IP-Adressen ist ähnlich wie die Validierung eines Domänennamens, hat aber seine Besonderheiten. Deshalb empfehlen wir Ihnen, die nachstehenden Leitlinien zu befolgen.

GoGetSSL

SCHRITT 1. Als erstes müssen Sie Ihr SSL-Zertifikat konfigurieren, indem Sie das Konfigurationsformular in Ihrem SSL Dragon-Konto ausfüllen.

Wichtig! Bei der Konfiguration Ihres Zertifikats werden Sie aufgefordert, eine CSR mit KEINEM Common Name zu erstellen. Hier ist die Vorgehensweise.

SCHRITT 2. Geben Sie Ihre IP-Adresse / IP-Adressen im Feld SANs an.

Wenn Sie nur eine IP-Adresse haben, geben Sie diese einfach in das Feld SANs ein, ohne zusätzliche Leerzeichen oder Zeichen, z. B.:

123.34.34.234

Wenn Sie über 2 oder mehr IP-Adressen verfügen (wenn Sie zusätzliche SANs erworben haben), fügen Sie Ihre IP-Adressenliste in das Feld SANs ein, wobei die einzelnen IP-Adressen durch Leerzeichen getrennt werden, z. B.:

123.34.34.234
124.34.24.234

Wichtig! Dieser Schritt ist obligatorisch. Da der CSR keine IP-Adresse in seinen Feldern enthält, ist es wichtig, Ihre IP-Adresse(n) im Feld SANs anzugeben. Wenn Sie das Feld SANs leer lassen, wird das SSL-Zertifikat nicht weiter konfiguriert und Sie erhalten eine Fehlermeldung.

HINWEIS: Wenn Sie eine IP-Adresse und einen Domainnamen sichern müssen, können Sie dies mit GoGetSSL PublicIP SAN tun, aber es muss manuell konfiguriert werden. Bitte eröffnen Sie ein Ticket bei uns und senden Sie uns den CSR (mit No Common Name), die IP-Adresse und den Domainnamen. Wir werden das SSL manuell konfigurieren und Ihnen die Anweisungen für die weitere Validierung geben.

SCHRITT 3. Sobald Ihr Zertifikat konfiguriert ist, müssen Sie den Besitz oder das Recht zur Nutzung dieser IP-Adresse nachweisen. Dazu müssen Sie die HTTP/HTTPS-Validierung für Ihr SSL-Zertifikat bestehen. E-Mail- oder DNS-Validierung sind für die IP-Validierung nicht verfügbar. Um die HTTP/HTTPS-Validierung zu bestehen, müssen Sie eine .TXT-Datei erstellen, die den Validierungscode enthält, der im Feld “Inhalt” auf der Detailseite Ihres SSL-Zertifikats angegeben ist. Der “Inhalt”, den Sie der .TXT-Datei hinzufügen müssen, sieht ähnlich aus wie dieser:

38622319C755B5952FA4CD590655F05000C4951C2EF07BFFCB2BBA23623BE9D6
COMODOCA.COM
t0520161001553133275

Dann müssen Sie die TXT-Datei an einem Ort auf Ihren Server hochladen, der wie folgt aussieht:
http://127.0.0.1/.well-known/pki-validation/B34037F1D9BFE9F5936AFEA9798174AB.txt

127.0.0.1 sollte durch die IP-Adresse ersetzt werden, die Sie zu validieren versuchen. Informationen zur Erstellung des Ordners .well-known finden Sie unter folgendem Link: https://www.ssldragon.com/faq/create-well-known-folder/

Stellen Sie sicher, dass Sie von jedem Webbrowser aus auf diese Datei und den Link zugreifen können. Teilen Sie uns mit, wann Sie die angehängte TXT-Datei auf Ihren Server hochgeladen haben, damit wir einen Scan Ihrer Website durchführen und unter dem angegebenen Link speziell nach dieser Datei suchen können.

Wenn Sie diese Schritte genau befolgen, können Sie Ihre IP-Adresse erfolgreich validieren lassen.

HINWEIS: Wenn Sie einen Router statt eines Servers haben, gibt es keine Möglichkeit, die TXT-Datei auf Ihren Router hochzuladen. Die Lösung für die Überprüfung der IP-Adressen besteht darin, die IP-Adresse auf einen Server umzuleiten, die TXT-Datei auf diesem Server abzulegen, die IP-Prüfung zu bestehen und dann die IP-Adresse wieder an den Router umzuleiten.

Sectigo

SCHRITT 1. Zunächst müssen Sie Ihr SSL-Zertifikat konfigurieren, indem Sie das Konfigurationsformular in Ihrem SSL Dragon-Konto ausfüllen. Bei der Konfiguration Ihres Zertifikats werden Sie aufgefordert, eine CSR zu erstellen oder eine vorhandene CSR einzugeben.

Bitte stellen Sie sicher, dass Sie Ihre IP-Adresse als “Common Name” (Domain/IP, die Sie sichern möchten) in Ihrem CSR angeben.

SCHRITT 2. Sobald Ihr Zertifikat konfiguriert ist, müssen Sie den Besitz oder das Recht zur Nutzung dieser IP-Adresse nachweisen. Dazu müssen Sie die HTTP/HTTPS-Validierung für Ihr SSL-Zertifikat bestehen. E-Mail- oder DNS-Validierung sind für die IP-Validierung nicht verfügbar. Um die HTTP/HTTPS-Validierung zu bestehen, müssen Sie eine .TXT-Datei erstellen, die den Validierungscode enthält, der im Feld “Inhalt” auf der Detailseite Ihres SSL-Zertifikats angegeben ist. Der “Inhalt”, den Sie der .TXT-Datei hinzufügen müssen, sieht ähnlich aus wie dieser:

38622319C755B5952FA4CD590655F05000C4951C2EF07BFFCB2BBA23623BE9D6
COMODOCA.COM
t0520161001553133275

Dann müssen Sie die TXT-Datei an einen Ort auf Ihrem Server hochladen, der wie folgt aussieht:
http://127.0.0.1/.well-known/pki-validation/B34037F1D9BFE9F5936AFEA9798174AB.txt

127.0.0.1 sollte durch die IP-Adresse ersetzt werden, die Sie zu validieren versuchen. Informationen zur Erstellung des Ordners .well-known finden Sie unter folgendem Link: https://www.ssldragon.com/faq/create-well-known-folder/

Stellen Sie sicher, dass Sie von jedem Webbrowser aus auf diese Datei und den Link zugreifen können. Teilen Sie uns mit, wann Sie die angehängte TXT-Datei auf Ihren Server hochgeladen haben, damit wir einen Scan Ihrer Website durchführen und unter dem angegebenen Link speziell nach dieser Datei suchen können.

Wenn Sie diese Schritte genau befolgen, können Sie Ihre IP-Adresse erfolgreich validieren lassen.

HINWEIS: Wenn Sie einen Router statt eines Servers haben, gibt es keine Möglichkeit, die TXT-Datei auf Ihren Router hochzuladen. Die Lösung für die Überprüfung der IP-Adressen besteht darin, die IP-Adresse auf einen Server umzuleiten, die TXT-Datei auf diesem Server abzulegen, die IP-Prüfung zu bestehen und dann die IP-Adresse wieder an den Router umzuleiten.

SCHRITT 3. Der letzte Schritt, um das SSL-Zertifikat für Ihre IP-Adresse zu erhalten, ist das Bestehen der Business Validation. Eine ausführliche Anleitung dazu finden Sie unter folgendem Link: https://www.ssldragon.com/faq/how-to-pass-the-business-validation-for-my-ssl-certificate/

Link kopieren

Welche Dokumente muss ich für ein DV SSL-Zertifikat vorlegen?

Um ein Domain Validated-Zertifikat zu kaufen, müssen Sie keine Unterlagen vorlegen. Sie müssen den Besitz der Domäne durch eine einfache E-Mail, einen DNS-Eintrag oder eine dateibasierte Authentifizierung bestätigen (außer Wildcard-SSL-Zertifikate). Nach Abschluss eines dieser Elemente wird die DV-Bescheinigung unterzeichnet und Ihnen ausgehändigt.

Link kopieren

Was ist ein Domain Validated (DV) SSL-Zertifikat?

Das Domain Validation (DV) SSL-Zertifikat ist die günstigste Wahl, um die Sicherheit Ihres Blogs, Ihrer persönlichen Website oder der Website eines kleinen Unternehmens zu erhöhen. Der Erwerb des Domänenvalidierungszertifikats ist sehr schnell und einfach, da keine Papiere erforderlich sind: Sie müssen lediglich nachweisen, dass Sie der Inhaber der Domäne sind, indem Sie auf eine automatische E-Mail-Nachricht antworten. Nach ein paar Minuten erhalten Sie das ausgestellte SSL-Zertifikat, das Sie sofort installieren können. Websites mit Domain Validation-Zertifizierung sind an dem Vorhängeschloss zu erkennen, das die meisten Webbrowser anzeigen.

Diese Art von SSL-Zertifikaten wird empfohlen, wenn Sie nachweisen müssen, dass Ihre Website durch eine gesicherte Verbindung gesichert ist. Die Domainvalidierungszertifikate zeigen die juristische Person nicht an, da die Identität des Website-Inhabers bei der Ausstellung nicht überprüft wird. Wenn Sie also eine E-Commerce-Website oder eine Website haben, die personenbezogene Daten der Nutzer sammelt, sollten Sie den Kauf unserer Business Validation (BV) – oder Extended Validation (EV)- Zertifikate in Erwägung ziehen, die Ihre Website vertrauenswürdiger machen.

Link kopieren

Was ist ein vollständig qualifizierter Domänenname?

Ein vollständig qualifizierter Domänenname(FQDN), der manchmal auch als “absoluter Domänenname“, “Domänenname” oder “allgemeiner Name” bezeichnet wird, ist ein Domänenname, der seine genaue Position in der Baumhierarchie des Domänennamensystems (DNS) angibt.

Sie müssen den FQDN angeben, wenn Sie das Formular für die Zertifikatsanforderung ausfüllen. Wenn Sie zum Beispiel die
https://yoursite.com/about.html
der “Domänenname” oder “Common Name” lautet
Yoursite.com
.

Wie Sie sehen können, enthält der FQDN weder den Protokollnamen (https://) noch die Unterseiten oder Unterkategorien (about.html).

Bitte beachten Sie, dass Sie bei der Beantragung eines Wildcard-SSL-Zertifikats ein Sternchen vor Ihrem Domainnamen hinzufügen müssen. Zum Beispiel: *.ihredomain.de.

Quelle: Sectigos Wissensdatenbank

Link kopieren

Sectigo entfernt die WHOIS-basierten E-Mail-Adressen für DCV

Ab dem 16. Juni 2021 akzeptiert Sectigo keine WHOIS-basierten E-Mail-Adressen mehr für die Domain Control Validation (DCV), wenn das WHOIS eine menschliche Suche nach Domaininformationen erfordert. Whois ist ein weit verbreiteter Interneteintrag, der angibt, wem eine Domäne gehört und wie man mit ihm in Kontakt treten kann.

Die Änderung wirkt sich nicht auf E-Mails aus, die im WHOIS über automatische Abfragen gefunden werden können. Diese E-Mails werden Ihnen während der Zertifikatsanforderung oder über die API “GetDCVEmailAddressList” angezeigt. Die “konstruierten” E-Mail-Adressen werden weiterhin verfügbar sein.

Wenn die von Ihnen benötigte E-Mail-Adresse während des DCV-Prozesses nicht angezeigt oder angeboten wird, müssen Sie eine der unten aufgeführten alternativen Methoden für die Domain Control Validation verwenden:

  • Eine vorher festgelegte E-Mail-Adresse wie admin@, administrator@, hostmaster@, postmaster@, webmaster@
  • HTTP(s) oder DNS-basierte Domänenkontrollüberprüfung

Quelle: Sectigos Wissensdatenbank

Link kopieren

Was sind die Vorteile der einzelnen Validierungsarten (DV vs. BV vs. EV)?

Wenn Sie sich immer noch fragen, was die Hauptvorteile der einzelnen Validierungstypen (Domain Validation (DV), Business Validation (BV) und Extended Validation (EV)) sind und warum Sie sich für den einen oder den anderen entscheiden sollten, dann ist dies die richtige FAQ für Sie. Jeder dieser SSL-Zertifikatstypen wurde mit Blick auf ein bestimmtes Vertrauensniveau der Kunden erstellt:

  • BasicDomain Validation SSL-Zertifikate – für Kunden, die nicht daran interessiert sind, ihren Firmennamen und ihre Adresse im SSL-Zertifikat anzugeben – entweder weil sie das nicht brauchen/will oder weil sie einfach kein Unternehmen haben. Sie müssen nur schnell ein SSL-Zertifikat beantragen, um ihren Domänennamen mit HTTPS zu sichern und zu erreichen, dass alle Web- und Mobilbrowser ihre Website als “sicher” anzeigen.
  • MediumBusiness Validation SSL Certificates – für Kunden, die den Namen ihres Unternehmens in den Details ihres SSL-Zertifikats anzeigen möchten, um ihren Kunden zu versichern, dass ihr Unternehmen real und vertrauenswürdig ist. Mit BV SSL-Zertifikaten können Sie auf Ihrer Website auch ein von der Zertifizierungsstelle eines Dritten bereitgestelltes Site Seal anzeigen, das beweist, dass Ihr SSL-Zertifikat auf den Namen und die Adresse Ihres Unternehmens ausgestellt wurde.
  • Startseite Extended Validation SSL-Zertifikate für Kunden entwickelt, für die das Vertrauen der Nutzer sehr wichtig ist. EV SSL-Zertifikate bieten auch das Site Seal, das beweist, dass Ihr SSL-Zertifikat für Ihre Website, Ihren Firmennamen und Ihre Adresse ausgestellt wurde. Diese Zertifikate haben jedoch die höchste Vertrauensstufe, da sie Ihren Kunden, Interessenten und Besuchern zeigen, dass Ihre Website hochgradig sicher ist und dass ihre Daten stets geschützt sind.

Da Sie nun die Hauptunterschiede zwischen Domain Validation (DV), Business Validation (BV) und Extended Validation (EV) SSL-Zertifikaten kennen, sollte es für Sie viel einfacher sein, das für Sie am besten geeignete Zertifikat auszuwählen.

Link kopieren

Wie kann ich überprüfen, welche Art von Validierung mein SSL-Zertifikat benötigt?

bv2bv1Sie können anhand der Attribute Ihres SSL-Zertifikats überprüfen, ob Ihr SSL-Zertifikat Domain Validation, Business Validation oder Extended Validation erfordert. Bitte öffnen Sie die beiden Screenshots auf der rechten Seite, um zu sehen, wo Sie die Informationen über den Validierungstyp Ihres SSL-Zertifikats finden können.

 

Link kopieren