bg-blog-articles

Che cos’è Domain Control Validation (DCV)? Guida Completa ai Metodi di Validazione SSL

Quando ordini un certificato SSL/TLS, l’Autorità di Certificazione non te lo consegnerà così. Hanno bisogno della prova che controlli effettivamente il dominio che stai proteggendo. È qui che entra in gioco la Domain Control Validation (DCV). È il processo di verifica che conferma la proprietà del dominio prima che venga rilasciato qualsiasi certificato.

Domain Control Validation (DCV)

Questo non è solo un compiacimento burocratico. DCV impedisce agli attacchi di ottenere certificati validi per domini che non posseggono, il che comprometerebbe completamente il modello di fiducia che mantiene sicuro HTTPS. Il CA/Browser Forum, l’organismo industriale che stabilisce i requisiti di base per il rilascio di certificati, obbliga metodi DCV specifici che tutte le Autorità di Certificazione devono seguire.

In questa guida, analizzeremo cos’è DCV, esploreremo i diversi metodi di validazione disponibili e ti aiuteremo a scegliere l’approccio giusto per la tua infrastruttura.


Indice dei Contenuti

  1. Che cos’è Domain Control Validation (DCV)?
  2. Metodi di Validazione Basati su Email
  3. Metodi DCV Basati su DNS
  4. Metodi di Validazione Basati su File HTTP/HTTPS
  5. Scenari di Validazione Speciali
  6. Scegliere il Metodo DCV Giusto per le Tue Esigenze
  7. Problemi Comuni di DCV e Soluzioni Rapide

Save 10% on SSL Certificates when ordering from SSL Dragon today!

Fast issuance, strong encryption, 99.99% browser trust, dedicated support, and 25-day money-back guarantee. Coupon code: SAVE10

A detailed image of a dragon in flight

Che cos’è DCV (Domain Control Validation)?

Domain Control Validation (DCV) è il processo che le Autorità di Certificazione utilizzano per verificare la proprietà del dominio prima di rilasciare un certificato SSL/TLS. Conferma il controllo richiedendo al richiedente di rispondere via email, caricare un file sul dominio o configurare record DNS per provare l’autorità sul dominio.

Il processo funziona così: la CA genera una sfida unica (solitamente una stringa alfanumerica casuale) e tu dimostri il controllo rispondendo attraverso l’infrastruttura del tuo dominio. Questo potrebbe avvenire attraverso record DNS, il tuo server web o indirizzi email amministrativi. Una volta convalidato, la CA sa che sta rilasciando il certificato al proprietario legittimo del dominio, non a qualcuno che sta cercando di impersonare il tuo sito.

Standard Industriali e Conformità

I requisiti di base del CA/Browser Forum definiscono esattamente come deve essere eseguito DCV. Non sono suggerimenti, sono regole rigide che le CA devono seguire o rischiano di perdere il loro stato affidabile nei browser.

Gli standard attuali includono:

  • La validazione deve utilizzare uno dei metodi DCV approvati (trattati di seguito)
  • Multi-Perspective Issuance Corroboration (MPIC) richiede la validazione da più prospettive di rete per prevenire attacchi localizzati
  • La validazione è riutilizzabile per 397 giorni per certificati Organization Validated (OV) e Extended Validation (EV)
  • I certificati Domain Validated (DV) non possono riutilizzare la validazione, devi convalidare ogni volta che rinnovi

Ecco qualcosa di importante: questi requisiti sono in fase di irrigidimento. L’industria sta riducendo la durata massima dei certificati e i periodi di validazione.

Il CA/Browser Forum ha definito una timeline chiara per la durata dei certificati: sono ora limitati a 200 giorni a partire dal 15 marzo 2026, con ulteriori riduzioni a 100 giorni dal 15 marzo 2027, e 47 giorni a partire dal 15 marzo 2029.

Questo irrigidimento interessa anche i cicli di validazione, rendendo la rivalidazione frequente e l’automazione dei certificati SSL sempre più necessarie.

DCV Timeline 2025-2029

Metodi di Validazione Basati su Email

1. Verifica Email Costruita

La validazione email è il metodo DCV più comune perché è semplice e non richiede modifiche tecniche alla tua infrastruttura. La CA invia un’email contenente un link di validazione o un codice agli indirizzi specifici del tuo dominio.

La CA proverà questi indirizzi email generici:

Non hai bisogno di tutti questi configurati, solo uno indirizzo funzionante dalla lista. La CA controlla i record MX del tuo dominio per confermare che l’email possa essere consegnata, quindi invia la richiesta di validazione.

Quando l’email arriva, fai clic su un link di verifica o copia un codice nel platform di ordinazione dei certificati. Il processo di solito impiega solo pochi minuti se la tua email è configurata correttamente.

Questo metodo funziona bene se:

  • Hai un’infrastruttura email consolidata per il tuo dominio
  • Ordini certificati occasionalmente, non su larga scala
  • Vuoi il processo di validazione più semplice senza modifiche DNS o server web

Lo svantaggio? Non puoi automatizzarlo facilmente, e se la tua email si guasta o gli indirizzi non vengono monitorati, la tua validazione fallirà.

2. Email al Contatto TXT DNS

Questa variazione combina email con DNS. Invece di utilizzare indirizzi generici, pubblichi un indirizzo email specifico in un record TXT DNS su _validation-contactemail.tuodominio.com. La CA legge questo record e invia la validazione a quell’indirizzo.

Perché usare questo approccio?

  • Riutilizzabilità: Una volta configurato, rimane valido per l’intero periodo di validazione
  • Controllo centralizzato: Decidi esattamente quale email riceve le richieste di validazione
  • Amico dei team: Puntalo a una distribution list, non a una inbox personale

Ecco la configurazione pratica:

_validation-contactemail.tuodominio.com. IN TXT "mailto:[email protected]"

Crea semplicemente questo record TXT DNS con la tua email di contatto preferita e la CA lo userà automaticamente. Ciò è particolarmente utile per le organizzazioni che gestiscono più certificati. Puoi standardizzare la validazione su tutti i domini attraverso una sola inbox monitorata.


Metodi DCV Basati su DNS

1. Validazione del Record TXT DNS

La validazione del record TXT DNS è popolare per la sua flessibilità e il potenziale di automazione. Quando ordini un certificato, la CA fornisce un hostname e un token di validazione specifici che aggiungi come record TXT al DNS del tuo dominio.

Il processo di base:

  1. La CA fornisce un hostname (tipicamente _dvsauth.tuodominio.com) e un token durante l’ordinazione del certificato
  2. Crei il record TXT con quel token come valore
  3. La CA interroga il tuo DNS per confermare che il record esista
  4. Una volta convalidato, rilasciano il certificato

Il record solitamente assomiglia a questo:

_dvsauth.tuodominio.com. IN TXT "ab1c2d3e4f5g6h7i8j9k0l1m2n3o4p5q"

La validazione TXT DNS è ideale per:

  • Automazione – Le API DNS rendono questo scriptabile attraverso client ACME o strumenti personalizzati
  • Ambienti senza server web – hai solo bisogno dell’accesso al DNS
  • Certificati wildcard – lo copriremo nella sezione Scenari Speciali

Una cosa da tenere d’occhio: il tempo di propagazione DNS. Se i tuoi nameserver hanno valori TTL elevati o propagazione lenta, la validazione potrebbe richiedere più tempo. La maggior parte delle CA ritenterà per 24 ore, ma è meglio impostare valori TTL inferiori prima di aggiungere record di validazione.

2. Metodo del Record CNAME DNS

La validazione CNAME utilizza un tipo di record diverso ma raggiunge lo stesso obiettivo. Invece di memorizzare il token di validazione direttamente, crei un CNAME che punta a un target di validazione controllato dalla CA.

Configurazione di esempio:

_dnsauth.tuodominio.com. IN CNAME random-token.dcv.digicert.com.

La differenza chiave: il CNAME punta a un record che la CA controlla, il che significa che possono aggiornare il target di validazione senza che tu modifichi il DNS. Alcune CA consentono anche la prevalidazione del dominio, configuri il CNAME una volta e possono convalidare ogni volta che ordini certificati.

La validazione CNAME funziona bene quando:

  • Il tuo provider DNS rende i CNAME più facili da gestire rispetto ai record TXT
  • Vuoi la capacità di prevalidazione del dominio per certificati OV/EV
  • Stai lavorando con CA che supportano flussi di validazione basati su CNAME

Non tutte le CA offrono validazione CNAME, quindi verifica con il tuo provider. Ma quando disponibile, è un’opzione solida per i team che preferiscono questo tipo di record DNS.


Save 10% on SSL Certificates when ordering from SSL Dragon today!

Fast issuance, strong encryption, 99.99% browser trust, dedicated support, and 25-day money-back guarantee. Coupon code: SAVE10

A detailed image of a dragon in flight

Metodi di Validazione Basati su File HTTP/HTTPS

1. Dimostrazione Pratica HTTP

La validazione basata su file richiede di posizionare un file specifico sul tuo server web in un percorso designato. La CA accede quindi a questo file tramite HTTP o HTTPS per confermare che controlli il server che ospita il dominio.

Il percorso standard è: http://tuodominio.com/.well-known/pki-validation/fileauth.txt

La CA fornisce sia il nome esatto del file che il contenuto. Crei questo file sul tuo server, assicurati che sia accessibile e la CA convalida recuperandolo.

Punti di implementazione critici:

  • Il file deve essere accessibile sulla porta 80 (HTTP) o porta 443 (HTTPS)
  • La directory .well-known è una posizione standard definita in RFC 8615
  • Ciò è richiesto per la validazione degli indirizzi IP. Se stai ottenendo un certificato per un indirizzo IPv4 o IPv6, la validazione HTTP è tipicamente la tua unica opzione

La validazione basata su file è semplice se hai accesso diretto al server web. È meno ideale se stai utilizzando servizi di hosting con accesso al file system limitato o CDN che potrebbero memorizzare in cache o interferire con le richieste di validazione.

Suggerimenti per la risoluzione dei problemi:

  • Assicurati che i reindirizzamenti non interferiscano. La CA deve raggiungere l’URL di validazione esatto
  • Verifica che i firewall consentano l’accesso HTTP/HTTPS
  • Disabilita la memorizzazione in cache per la directory di validazione
  • Verifica che i permessi del file consentano l’accesso in lettura pubblico

2. Integrazione Challenge ACME

Il protocollo ACME (Automated Certificate Management Environment) utilizza challenge HTTP-01 e DNS-01 per DCV automatizzato. Se stai utilizzando Let’s Encrypt o un’altra CA compatibile con ACME, il tuo client ACME gestisce l’intero processo di validazione automaticamente.

Challenge HTTP-01: Posiziona un file di validazione su /.well-known/acme-challenge/ (simile alla validazione HTTP standard)

Challenge DNS-01: Crea un record TXT su _acme-challenge.tuodominio.com

Il tuo client (come Certbot, acme.sh o strumenti integrati in piattaforme come cPanel) gestisce la validazione e il rinnovo del certificato senza intervento manuale. ACME è diventato lo standard per la gestione automatizzata dei certificati, in particolare per le organizzazioni che gestiscono grandi inventari di certificati.


Scenari di Validazione Speciali

1. Validazione Multi-Domain e Certificato SAN

Se stai ordinando un certificato multi-dominio (chiamato anche certificati SAN o UCC), devi validare ogni dominio separatamente. Un singolo controllo DCV non copre tutti i domini sul certificato.

Esempio: Un certificato per example.com, www.example.com e shop.example.com richiede tre validazioni separate, anche se sono domini correlati.

La buona notizia? Puoi mescolare i metodi di validazione. Usa la validazione email per un dominio e la validazione DNS per un altro se ciò corrisponde alla tua infrastruttura. La piattaforma della CA traccia lo stato della validazione per ogni dominio e rilascia il certificato solo dopo che tutti i domini sono stati verificati.

2. Validazione dei Domini Wildcard

I certificati wildcard (che coprono *.example.com) richiedono metodi di validazione basati su DNS. La maggior parte delle CA non accetterà validazione email o HTTP per i wildcard per motivi di sicurezza.

Perché validazione DNS per i wildcard?

I certificati wildcard proteggono sottodomini illimitati. La validazione basata su file potrebbe provare il controllo di un solo sottodominio alla volta, e la validazione email non dimostra il controllo su tutti i possibili sottodomini. La validazione DNS prova che controlli l’intera infrastruttura DNS del dominio, che è appropriata per un certificato che protegge tutti i sottodomini.

Se hai bisogno di un certificato wildcard, pianifica l’utilizzo di validazione TXT o CNAME DNS. Queste sono tipicamente le tue uniche opzioni.

3. Considerazioni sulla Validazione dei Sottodomini

Puoi convalidare a livello di sottodominio o di dominio genitore, a seconda del metodo di validazione. Per la validazione HTTP, il file deve essere accessibile al sottodominio specifico che stai convalidando. Per la validazione DNS, crei record al livello di sottodominio appropriato.

Una distinzione importante: La convalidazione del dominio genitore (example.com) non convalida automaticamente i sottodomini (blog.example.com) per la maggior parte dei metodi di validazione. Ogni sottodominio ha bisogno della propria validazione a meno che non stia utilizzando un certificato wildcard.


Scegliere il Metodo DCV Giusto per le Tue Esigenze

Abbina il metodo alla tua infrastruttura:

Confronta Tutti i Metodi DCV a Colpo d’Occhio

Metodo di ValidazioneTempo per CompletareCapacità di AutomazioneCompetenza TecnicaSupporto WildcardRiutilizzabilità (OV/EV)Ideale Per
Email (Generica)5-30 minuti❌ Bassa⭐ Minima✅ Sì❌ NoCertificati una tantum, piccole distribuzioni
Email (TXT DNS)15-60 minuti❌ Bassa⭐⭐ Bassa-Moderata✅ Sì✅ Sì (397 giorni)Team con più certificati, email consolidata
Record TXT DNS10-60 minuti✅ Alta⭐⭐⭐ Moderata✅ Sì✅ Sì (397 giorni)Automazione, wildcard, grandi distribuzioni
CNAME DNS15-60 minuti✅ Alta⭐⭐⭐ Moderata✅ Sì✅ Sì (397 giorni)Prevalidazione del dominio, token gestiti da CA
File HTTP5-20 minuti⚠️ Medio⭐⭐ Bassa-Moderata❌ No❌ NoAccesso diretto al server, indirizzi IP
ACME (HTTP-01)2-10 minuti✅ Molto Alta⭐⭐⭐⭐ Moderata-Alta❌ NoN/A (rinnovo automatico)Automazione completa, Let’s Encrypt
ACME (DNS-01)2-10 minuti✅ Molto Alta⭐⭐⭐⭐ Moderata-Alta✅ SìN/A (rinnovo automatico)Automazione completa con wildcard

Selezione del Metodo per Scenario

Usa validazione email se:

  • Hai ordini di certificati semplici, una tantum
  • Gli indirizzi email admin generici vengono monitorati
  • Non hai bisogno di automazione

Usa validazione TXT/CNAME DNS se:

  • Hai bisogno di certificati wildcard
  • Stai gestendo più certificati
  • Non hai accesso al server web
  • Vuoi capacità di automazione

Usa validazione file HTTP se:

  • Hai accesso diretto al server web
  • Stai convalidando indirizzi IP
  • Le modifiche DNS sono difficili nella tua organizzazione
Scegliere il Metodo DCV

Problemi Comuni di DCV e Soluzioni Rapide

Gli errori di validazione accadono. Ecco gli errori più frequenti che incontrerai e come risolverli rapidamente.

Validazione File HTTP: “404 Non Trovato”

Errore: “Il sistema ha interrogato un file temporaneo su http://example.com/.well-known/pki-validation/[filename].txt, ma il server web ha risposto con il seguente errore: 404 (Non trovato).”

Soluzioni rapide:

  • Crea manualmente la struttura delle directory: /public_html/.well-known/pki-validation/
  • Imposta i permessi: directory su 755, file su 644
  • Controlla le regole .htaccess che potrebbero bloccare il percorso /.well-known/
  • Se il dominio è stato appena aggiunto, attendi 24-48 ore per la propagazione
  • Testa l’accessibilità: curl -v http://tuodominio.com/.well-known/pki-validation/test.txt

Causa comune: Il percorso del file di validazione non esiste o non è accessibile pubblicamente.

Validazione HTTP: “Forbids DCV HTTP Redirections”

Errore: “cPanel (powered by Sectigo) forbids DCV HTTP redirections.”

Soluzioni rapide:

  • Disabilita temporaneamente i reindirizzamenti a HTTPS durante la validazione
  • Escludi il percorso /.well-known/* dalle regole di reindirizzamento
  • Controlla .htaccess, le regole della pagina Cloudflare o la configurazione del server per i reindirizzamenti
  • Se stai utilizzando una CDN, disabilita temporaneamente o aggiungi un’eccezione

Causa comune: Il tuo sito reindirizza HTTP a HTTPS o a un altro dominio, bloccando il tentativo di validazione della CA.

Validazione DNS: “No TXT Record That Matches”

Errore: “The DNS query to ‘_dvsauth.example.com’ for the DCV challenge returned no ‘TXT’ record that matches the value ‘[expected-value]’.”

Soluzioni rapide:

  • Attendi 1-24 ore per la propagazione DNS (dipende da TTL)
  • Verifica l’hostname e il valore esatti: dig _dvsauth.example.com TXT +short
  • Controlla gli errori di copia/incolla nel token di validazione
  • Se stai utilizzando DNS delegato (record NS), aggiungi il record TXT al provider corretto
  • Abbassa il TTL a 300 secondi (5 minuti) prima di aggiungere record di validazione

Causa comune: DNS non si è ancora propagato oppure il record ha errori di battitura.

Validazione DNS: Record CAA Che Bloccano il Rilascio

Errore: “Certificate authority encountered a multiple perspective CAA check error.”

Soluzioni rapide:

  • Controlla i record CAA esistenti: dig example.com CAA
  • Aggiungi la tua CA agli emittenti consentiti: example.com. CAA 0 issue “digicert.com”
  • Verifica che i record CAA si risolvono globalmente utilizzando lo strumento ping.pe
  • Se non esistono record CAA, non hai bisogno di aggiungerne (l’assenza consente tutte le CA)

Causa comune: I record CAA limitano quali CA possono rilasciare certificati per il tuo dominio.

Validazione Email: Email Non Ricevuta

Soluzioni rapide:

  • Controlla prima le cartelle spam/junk
  • Verifica che questi indirizzi esistano e ricevano email: admin@, administrator@, webmaster@, hostmaster@, postmaster@
  • Controlla i record MX: dig example.com MX
  • Metti nella whitelist i domini di invio email della CA nel tuo filtro spam
  • Richiedi il reinvio dell’email dal pannello di controllo della CA

Causa comune: L’email di validazione è catturata dai filtri spam o gli indirizzi admin non esistono.

Specifico della Piattaforma: Errori cPanel AutoSSL

Errore: “Local HTTP DCV error: An internal error occurred.”

Soluzioni rapide:

  • Controlla i log di WHM > Manage AutoSSL per i dettagli
  • Attendi 30 minuti e riprova (spesso si risolve automaticamente)
  • Passa tra i provider Sectigo e Let’s Encrypt
  • Svuota la coda AutoSSL: WHM > Manage AutoSSL > Clear pending queue

Comandi Diagnostici Rapidi

Prima di contattare il supporto, esegui questi controlli:

# Verifica la propagazione DNS
dig tuodominio.com +short
dig _dvsauth.tuodominio.com TXT +short

# Testa l'accessibilità del file HTTP
curl -v http://tuodominio.com/.well-known/pki-validation/test.txt

# Controlla i record CAA e MX
dig tuodominio.com CAA
dig tuodominio.com MX

Semplifica la Gestione dei Tuoi Certificati SSL con SSL Dragon

Ottenere la validazione del controllo del dominio corretta è cruciale per un dispiegamento fluido dei certificati. SSL Dragon offre certificati da Autorità di Certificazione affidabili con tutti i metodi di validazione di cui hai bisogno, che tu preferisca la verifica basata su email, DNS o HTTP.

Il nostro team ti aiuta a navigare i requisiti DCV per certificati Domain Validated, Organization Validated ed Extended Validation. Ti guideremo attraverso il metodo di validazione che corrisponde alla tua infrastruttura e risponderemo alle domande quando sorgono problemi di validazione.

Smetti di lottare con la validazione dei certificati. Consulta le nostre opzioni di certificati SSL!

Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!

Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10

Un'immagine dettagliata di un drago in volo
Scritto da

Scrittore di contenuti con esperienza, specializzato in certificati SSL. Trasforma intricati argomenti di cybersicurezza in contenuti chiari e coinvolgenti. Contribuisci a migliorare la sicurezza digitale attraverso narrazioni d'impatto.