जब आप SSL/TLS certificate के लिए आवेदन करते हैं, तो Certificate Authority इसे सीधे जारी नहीं करती। उन्हें यह प्रमाण चाहिए कि आप वास्तव में उस domain को नियंत्रित करते हैं जिसे आप सुरक्षित कर रहे हैं। यहीं पर Domain Control Validation (DCV) काम आता है। यह सत्यापन प्रक्रिया है जो किसी भी certificate जारी करने से पहले domain ownership की पुष्टि करती है।

यह सिर्फ नौकरशाही की औपचारिकता नहीं है। DCV हमलावरों को ऐसे domains के लिए valid certificates प्राप्त करने से रोकता है जिन पर उनका नियंत्रण नहीं है, जिससे HTTPS को सुरक्षित रखने वाले trust model को नुकसान होता। CA/Browser Forum, वह industry body जो certificate issuance के लिए baseline requirements निर्धारित करती है, विशिष्ट DCV methods को अनिवार्य करती है जिनका सभी Certificate Authorities को पालन करना चाहिए।
इस गाइड में, हम समझाएंगे कि DCV क्या है, उपलब्ध विभिन्न validation methods का पता लगाएंगे, और आपको अपने infrastructure के लिए सही approach चुनने में मदद करेंगे।
विषय सूची
- Domain Control Validation (DCV) क्या है?
- Email-Based Domain Validation Methods
- DNS-Based DCV Methods
- HTTP/HTTPS File-Based Validation Methods
- विशेष Validation Scenarios
- अपनी जरूरतों के लिए सही DCV Method चुनना
- आम DCV समस्याएं और त्वरित समाधान
SSL ड्रैगन से ऑर्डर करते समय आज ही SSL प्रमाणपत्र पर 10% बचाएं!
तेजी से जारी करना, मजबूत एन्क्रिप्शन, 99.99% ब्राउज़र ट्रस्ट, समर्पित समर्थन और 25-दिन की मनी-बैक गारंटी। कूपन कोड: SAVE10
DCV (Domain Control Validation) क्या है?
Domain Control Validation (DCV) वह प्रक्रिया है जो Certificate Authorities SSL/TLS certificate जारी करने से पहले domain ownership को verify करने के लिए उपयोग करती हैं। यह email के माध्यम से, domain पर file upload करके, या DNS records को configure करके respond करने की आवश्यकता के द्वारा control की पुष्टि करता है ताकि domain पर authority सिद्ध हो सके।
यह प्रक्रिया इस तरह काम करती है: CA एक unique challenge (आमतौर पर एक random alphanumeric string) generate करता है, और आप अपने domain के infrastructure के माध्यम से respond करके control प्रदर्शित करते हैं। यह DNS records, आपके web server, या administrative email addresses के माध्यम से हो सकता है। एक बार validated होने के बाद, CA को पता चल जाता है कि वे certificate को legitimate domain owner को जारी कर रहे हैं, न कि किसी ऐसे व्यक्ति को जो आपकी site का impersonate कर रहा है।
Industry Standards और Compliance
CA/Browser Forum की baseline requirements यह परिभाषित करती हैं कि DCV को कैसे perform करना चाहिए। ये सुझाव नहीं हैं, ये सख्त rules हैं जिनका CAs को पालन करना चाहिए या browsers में अपनी trusted status खोने का जोखिम उठाना चाहिए।
वर्तमान standards में शामिल हैं:
- Validation को approved DCV methods में से एक का उपयोग करना चाहिए (नीचे covered है)
- Multi-Perspective Issuance Corroboration (MPIC) localized attacks को prevent करने के लिए multiple network perspectives से validation की आवश्यकता करता है
- Validation 397 दिनों के लिए Organization Validated (OV) और Extended Validation (EV) certificates के लिए reusable है
- Domain Validated (DV) certificates validation को reuse नहीं कर सकते, आपको हर बार renew करते समय validate करना चाहिए
यहाँ कुछ महत्वपूर्ण है: ये requirements सख्त हो रही हैं। Industry maximum certificate lifespans और validation periods को reduce कर रहा है।
CA/Browser Forum ने certificate lifetimes के लिए एक स्पष्ट timeline define किया है: ये अब 200 दिन तक सीमित हैं जैसा कि March 15, 2026 से, 100 दिन में further reduction March 15, 2027 से, और 47 दिन March 15, 2029 से शुरू होंगे।
यह सख्ती validation cycles को भी प्रभावित करती है, जिससे frequent revalidation और SSL certificate automation तेजी से आवश्यक हो गया है।

Email-Based Domain Validation Methods
1. Constructed Email Verification
Email validation सबसे आम DCV method है क्योंकि यह simple है और आपके infrastructure में कोई तकनीकी बदलाव की आवश्यकता नहीं है। CA एक validation link या code युक्त email को आपके domain पर विशिष्ट addresses भेजता है।
CA ये generic email addresses को try करेगा:
आपको इन सभी को set up करने की जरूरत नहीं है, बस list से एक काम करने वाला address। CA आपके domain के MX records को check करता है यह confirm करने के लिए कि email deliver किया जा सकता है, फिर validation request भेजता है।
जब email arrive हो, आप एक verification link click करेंगे या एक code को certificate ordering platform में copy करेंगे। यदि आपका email properly configured है तो यह प्रक्रिया आमतौर पर कुछ ही minutes लेती है।
यह method अच्छी तरह काम करता है यदि:
- आपके पास अपने domain के लिए established email infrastructure है
- आप occasionally certificates order कर रहे हैं, scale पर नहीं
- आप सबसे सरल validation process चाहते हैं DNS या web server changes के बिना
नकारात्मक पक्ष? आप इसे आसानी से automate नहीं कर सकते, और यदि आपका email down हो जाता है या addresses को monitor नहीं किया जाता है, तो आपका validation fail हो जाएगा।
2. Email to DNS TXT Contact
यह variation email को DNS के साथ combine करता है। Generic addresses के बजाय, आप एक specific email address को DNS TXT record में publish करते हैं _validation-contactemail.yourdomain.com पर। CA यह record पढ़ता है और उस address को validation भेजता है।
इस approach को क्यों use करें?
- Reusability: एक बार configured होने के बाद, यह validation period के लिए valid रहता है
- Centralized control: आप तय करते हैं कि कौन सा email validation requests receive करता है
- Team-friendly: इसे किसी के personal inbox की जगह एक distribution list की ओर point करें
यहाँ practical setup है:
_validation-contactemail.yourdomain.com. IN TXT "mailto:[email protected]"
बस अपने preferred contact email के साथ यह DNS TXT record बनाएं, और CA इसे automatically use करेगा। यह organizations के लिए particularly useful है जो multiple certificates को manage कर रहे हैं। आप एक monitored inbox के माध्यम से सभी domains में validation को standardize कर सकते हैं।
DNS-Based DCV Methods
1. DNS TXT Record Validation
DNS TXT record validation अपनी flexibility और automation potential के लिए लोकप्रिय है। जब आप certificate order करते हैं, CA एक specific hostname और validation token provide करता है जो आप अपने domain के DNS में TXT record के रूप में add करते हैं।
बुनियादी प्रक्रिया:
- CA एक hostname provide करता है (आमतौर पर _dvsauth.yourdomain.com) और token certificate ordering के दौरान
- आप उस token के साथ TXT record बनाते हैं value के रूप में
- CA आपके DNS को query करता है record के अस्तित्व की पुष्टि करने के लिए
- एक बार verified होने के बाद, वे certificate issue करते हैं
Record आमतौर पर इस तरह दिखता है:
_dvsauth.yourdomain.com. IN TXT "ab1c2d3e4f5g6h7i8j9k0l1m2n3o4p5q"
DNS TXT validation निम्नलिखित के लिए ideal है:
- Automation – DNS APIs इसे ACME clients या custom tools के माध्यम से scriptable बनाता है
- Web servers के बिना environments – आपको केवल DNS access चाहिए
- Wildcard certificates – हम Special Scenarios section में इस requirement को cover करेंगे
एक चीज को ध्यान में रखें: DNS propagation time। यदि आपके nameservers के पास high TTL values हैं या slow propagation है, तो validation को अधिक समय लग सकता है। अधिकांश CAs 24 घंटे के लिए retry करेंगे, लेकिन validation records add करने से पहले lower TTL values set करना सबसे अच्छा है।
2. DNS CNAME Record Method
CNAME validation एक different record type का उपयोग करता है लेकिन same goal को achieve करता है। Token को directly store करने की जगह, आप एक CNAME बनाते हैं जो एक validation target की ओर point करता है जो CA नियंत्रित करता है।
उदाहरण configuration:
_dnsauth.yourdomain.com. IN CNAME random-token.dcv.digicert.com.
मुख्य अंतर: CNAME एक record की ओर point करता है जो CA नियंत्रित करता है, जिसका अर्थ है कि वे validation target को update कर सकते हैं आपके DNS को change किए बिना। कुछ CAs यह भी allow करते हैं domain prevalidation के लिए, आप CNAME को एक बार set up करते हैं, और वे किसी भी समय certificates order करते समय validate कर सकते हैं।
CNAME validation अच्छी तरह काम करता है जब:
- आपका DNS provider TXT records की तुलना में CNAMEs को manage करना आसान बनाता है
- आप OV/EV certificates के लिए domain prevalidation capability चाहते हैं
- आप ऐसे CAs के साथ काम कर रहे हैं जो CNAME-based validation flows को support करते हैं
सभी CAs CNAME validation नहीं offer करते हैं, तो अपने provider के साथ check करें। लेकिन जब available हो, तो यह teams के लिए एक solid option है जो इस DNS record type को prefer करते हैं।
SSL ड्रैगन से ऑर्डर करते समय आज ही SSL प्रमाणपत्र पर 10% बचाएं!
तेजी से जारी करना, मजबूत एन्क्रिप्शन, 99.99% ब्राउज़र ट्रस्ट, समर्पित समर्थन और 25-दिन की मनी-बैक गारंटी। कूपन कोड: SAVE10
HTTP/HTTPS File-Based Validation Methods
1. HTTP Practical Demonstration
File-based validation के लिए आपको एक specific file को designated path पर अपने web server पर place करना होता है। CA फिर इस file को HTTP या HTTPS के माध्यम से access करता है यह confirm करने के लिए कि आप domain को host करने वाले server को नियंत्रित करते हैं।
Standard path है: http://yourdomain.com/.well-known/pki-validation/fileauth.txt
CA both exact filename और content provide करता है। आप इस file को अपने server पर बनाते हैं, यह सुनिश्चित करते हैं कि यह accessible है, और CA इसे fetch करके validate करता है।
महत्वपूर्ण implementation points:
- File को port 80 (HTTP) या port 443 (HTTPS) पर accessible होना चाहिए
- .well-known directory एक standard location है जो RFC 8615 में defined है
- यह IP address validation के लिए required है। यदि आप एक IPv4 या IPv6 address के लिए certificate प्राप्त कर रहे हैं, तो HTTP validation आमतौर पर आपका एकमात्र विकल्प है
File-based validation straightforward है यदि आपके पास direct web server access है। यह कम ideal है यदि आप restricted file system access के साथ hosting services या CDNs का उपयोग कर रहे हैं जो validation requests को interfere कर सकते हैं।
Troubleshooting tips:
- यह सुनिश्चित करें कि redirects interfere न करें। CA को exact validation URL तक पहुंचना चाहिए
- Check करें कि firewalls HTTP/HTTPS access को allow करते हैं
- Validation directory के लिए caching को disable करें
- Verify करें कि file permissions public read access को allow करते हैं
2. ACME Challenge Integration
ACME (Automated Certificate Management Environment) protocol automated DCV के लिए HTTP-01 और DNS-01 challenges का उपयोग करता है। यदि आप Let’s Encrypt या दूसरे ACME-compatible CA का उपयोग कर रहे हैं, तो आपका ACME client पूरी validation process को automatically handle करता है।
HTTP-01 challenge: एक validation file को /.well-known/acme-challenge/ पर place करता है (standard HTTP validation के समान)
DNS-01 challenge: _acme-challenge.yourdomain.com पर एक TXT record create करता है
आपका client (जैसे Certbot, acme.sh, या cPanel जैसे platforms में integrated tools) validation और certificate renewal को manual intervention के बिना handle करता है। ACME automated certificate management के लिए standard बन गया है, विशेष रूप से organizations के लिए जो बड़े certificate inventories को manage कर रहे हैं।
विशेष Validation Scenarios
1. Multi-Domain और SAN Certificate Validation
यदि आप एक multi-domain certificate (SAN या UCC certificates भी कहते हैं) order कर रहे हैं, तो आपको हर domain को अलग से validate करना चाहिए। एक single DCV check certificate पर सभी domains को cover नहीं करता है।
उदाहरण: example.com, www.example.com, और shop.example.com के लिए एक certificate को तीन अलग validations की आवश्यकता है, भले ही वे related domains हों।
अच्छी बात? आप validation methods को mix कर सकते हैं। एक domain के लिए email validation use करें और दूसरे के लिए DNS validation यदि यह आपके infrastructure से match करता हो। CA की platform हर domain के लिए validation status को track करेगी और certificate को केवल तभी issue करेगी जब सभी domains verified हों।
2. Wildcard Domain Validation
Wildcard certificates (*.example.com को cover करते हैं) को DNS-based validation methods की आवश्यकता है। अधिकांश CAs security considerations के कारण wildcards के लिए email या HTTP validation को accept नहीं करेंगे।
Wildcards के लिए DNS validation क्यों?
Wildcard certificates unlimited subdomains को secure करते हैं। File-based validation एक समय में केवल एक subdomain को control prove कर सकता है, और email validation सभी possible subdomains पर control को demonstrate नहीं करता है। DNS validation यह prove करता है कि आप पूरे domain के DNS infrastructure को control करते हैं, जो एक certificate के लिए appropriate है जो सभी subdomains को protect करता है।
यदि आपको wildcard certificate की आवश्यकता है, तो DNS TXT या CNAME validation पर plan करें। ये आमतौर पर आपके एकमात्र विकल्प हैं।
3. Subdomain Validation Considerations
आप subdomain level पर या parent domain level पर validate कर सकते हैं, validation method पर निर्भर करते हुए। HTTP validation के लिए, file को specific subdomain पर accessible होना चाहिए जिसे आप validate कर रहे हैं। DNS validation के लिए, आप appropriate subdomain level पर records create करते हैं।
एक महत्वपूर्ण अंतर: Parent domain (example.com) को validate करना subdomains (blog.example.com) को automatically validate नहीं करता है अधिकांश validation methods के लिए। जब तक आप wildcard certificate का उपयोग नहीं कर रहे हैं, हर subdomain को अपना validation चाहिए।
अपनी जरूरतों के लिए सही DCV Method चुनना
Method को अपने infrastructure से match करें:
एक नजर में सभी DCV Methods की तुलना करें
| Validation Method | Complete करने का समय | Automation Capability | तकनीकी कौशल | Wildcard Support | Reusability (OV/EV) | सर्वश्रेष्ठ है |
|---|---|---|---|---|---|---|
| Email (Generic) | 5-30 मिनट | ❌ कम | ⭐ न्यूनतम | ✅ हां | ❌ नहीं | एक बार certificates, छोटे deployments |
| Email (DNS TXT) | 15-60 मिनट | ❌ कम | ⭐⭐ Low-Moderate | ✅ हां | ✅ हां (397 दिन) | Teams with multiple certs, established email |
| DNS TXT Record | 10-60 मिनट | ✅ उच्च | ⭐⭐⭐ Moderate | ✅ हां | ✅ हां (397 दिन) | Automation, wildcards, large deployments |
| DNS CNAME | 15-60 मिनट | ✅ उच्च | ⭐⭐⭐ Moderate | ✅ हां | ✅ हां (397 दिन) | Domain prevalidation, CA-managed tokens |
| HTTP File | 5-20 मिनट | ⚠️ Medium | ⭐⭐ Low-Moderate | ❌ नहीं | ❌ नहीं | Direct server access, IP addresses |
| ACME (HTTP-01) | 2-10 मिनट | ✅ बहुत उच्च | ⭐⭐⭐⭐ Moderate-High | ❌ नहीं | N/A (auto-renewal) | Full automation, Let’s Encrypt |
| ACME (DNS-01) | 2-10 मिनट | ✅ बहुत उच्च | ⭐⭐⭐⭐ Moderate-High | ✅ हां | N/A (auto-renewal) | Full automation with wildcards |
Scenario द्वारा Method Selection
Email validation use करें यदि:
- आपके पास सरल, एक बार certificate orders हैं
- Generic admin email addresses को monitor किया जाता है
- आपको automation की जरूरत नहीं है
DNS TXT/CNAME validation use करें यदि:
- आपको wildcard certificates की जरूरत है
- आप multiple certificates को manage कर रहे हैं
- आपके पास web server access नहीं है
- आप automation capabilities चाहते हैं
HTTP file validation use करें यदि:
- आपके पास direct web server access है
- आप IP addresses को validate कर रहे हैं
- आपके organization में DNS changes कठिन हैं

आम DCV समस्याएं और त्वरित समाधान
Validation failures होते हैं। यहाँ सबसे frequent errors हैं जिन्हें आप encounter करेंगे और कैसे उन्हें जल्दी resolve करें।
HTTP File Validation: “404 Not Found”
Error: “The system queried for a temporary file at http://example.com/.well-known/pki-validation/[filename].txt, but the web server responded with the following error: 404 (Not Found).”
त्वरित समाधान:
- Manually directory structure create करें: /public_html/.well-known/pki-validation/
- Permissions set करें: directories को 755, files को 644
- .htaccess rules को check करें जो /.well-known/ path को block कर सकते हैं
- यदि domain अभी add किया गया है, propagation के लिए 24-48 घंटे wait करें
- Accessibility को test करें: curl -v http://yourdomain.com/.well-known/pki-validation/test.txt
आम कारण: Validation file path exist नहीं करता या publicly accessible नहीं है।
HTTP Validation: “Forbids DCV HTTP Redirections”
Error: “cPanel (powered by Sectigo) forbids DCV HTTP redirections.”
त्वरित समाधान:
- Validation के दौरान HTTPS को redirects को temporarily disable करें
- /.well-known/* path को redirect rules से exclude करें
- .htaccess, Cloudflare page rules, या server config में redirects को check करें
- यदि CDN use कर रहे हैं, तो temporarily disable करें या exception add करें
आम कारण: आपकी site HTTP को HTTPS में redirect करती है या दूसरे domain में redirect करती है, CA के validation attempt को block करती है।
DNS Validation: “No TXT Record That Matches”
Error: “The DNS query to ‘_dvsauth.example.com’ for the DCV challenge returned no ‘TXT’ record that matches the value ‘[expected-value]’.”
त्वरित समाधान:
- DNS propagation के लिए 1-24 घंटे wait करें (TTL पर निर्भर करता है)
- Exact hostname और value को verify करें: dig _dvsauth.example.com TXT +short
- Validation token में copy/paste errors को check करें
- यदि delegated DNS (NS records) use कर रहे हैं, तो TXT record को correct provider पर add करें
- Validation records add करने से पहले TTL को 300 seconds (5 मिनट) में lower करें
आम कारण: DNS propagate नहीं हुआ है, या record में typos हैं।
DNS Validation: CAA Records Blocking Issuance
Error: “Certificate authority encountered a multiple perspective CAA check error.”
त्वरित समाधान:
- Existing CAA records को check करें: dig example.com CAA
- अपने CA को allowed issuers में add करें: example.com. CAA 0 issue “digicert.com”
- ping.pe tool का उपयोग करके CAA records को globally verify करें
- यदि कोई CAA records exist नहीं करते हैं, तो आपको कोई add करने की जरूरत नहीं है (absence सभी CAs को allow करता है)
आम कारण: CAA records restrict करते हैं कि कौन से CAs आपके domain के लिए certificates issue कर सकते हैं।
Email Validation: Email Not Received
त्वरित समाधान:
- पहले spam/junk folders को check करें
- Verify करें कि ये addresses exist करते हैं और email receive करते हैं: admin@, administrator@, webmaster@, hostmaster@, postmaster@
- MX records को check करें: dig example.com MX
- CA की email sending domains को अपने spam filter में whitelist करें
- CA की control panel से email resend request करें
आम कारण: Validation email spam filters द्वारा caught किया गया है या admin addresses exist नहीं करते हैं।
Platform-Specific: cPanel AutoSSL Failures
Error: “Local HTTP DCV error: An internal error occurred.”
त्वरित समाधान:
- Details के लिए WHM > Manage AutoSSL logs को check करें
- 30 मिनट wait करें और retry करें (अक्सर automatically resolve हो जाता है)
- Sectigo और Let’s Encrypt providers के बीच switch करें
- AutoSSL queue को clear करें: WHM > Manage AutoSSL > Clear pending queue
त्वरित Diagnostic Commands
Support से contact करने से पहले, ये checks run करें:
# DNS propagation को verify करें
dig yourdomain.com +short
dig _dvsauth.yourdomain.com TXT +short
# HTTP file accessibility को test करें
curl -v http://yourdomain.com/.well-known/pki-validation/test.txt
# CAA और MX records को check करें
dig yourdomain.com CAA
dig yourdomain.com MX
SSL Dragon के साथ अपने SSL Certificate Management को सरल बनाएं
Domain control validation को सही तरीके से प्राप्त करना smooth certificate deployment के लिए crucial है। SSL Dragon trusted Certificate Authorities से certificates provide करता है जिसमें सभी validation methods हैं जिनकी आपको आवश्यकता हो सकती है, चाहे आप email, DNS, या HTTP-based verification को prefer करते हों।
हमारी team Domain Validated, Organization Validated, और Extended Validation certificates के लिए DCV requirements को navigate करने में आपकी मदद करता है। हम आपको उस validation method के माध्यम से walk करेंगे जो आपके infrastructure से match करता है और जब validation issues आते हैं तो सवालों के जवाब देंगे।
Certificate validation के साथ संघर्ष करना बंद करें। अपने SSL certificate options को browse करें!
आज ऑर्डर करते समय एसएसएल प्रमाणपत्रों पर 10% की बचत करें!
तेजी से जारी करना, मजबूत एन्क्रिप्शन, 99.99% ब्राउज़र ट्रस्ट, समर्पित समर्थन और 25 दिन की मनी-बैक गारंटी। कूपन कोड: SAVE10






