hero-faq-1

Domain Validation

Non riesco a scegliere il metodo di convalida del dominio

Quando configuri, riemetti o rinnovi il tuo certificato SSL, se non riesci a scegliere il metodo di convalida del dominio o se ricevi un messaggio di errore, significa che c’è un errore CSR. Ecco gli errori CSR più comuni e i modi per risolverli:

  • Se hai un certificato SSL Wildcard (per più sottodomini), il nome comune nel CSR deve iniziare con un asterisco e un punto (*.) come in questo esempio *.website.com. Per i normali certificati SSL non Wildcard, il nome comune deve avere uno dei seguenti formati: website.com, www.website.com o my.website.com.
  • Codifica della chiave sbagliata (ad esempio 4096 bit). Imposta la crittografia della chiave a 2048 bit.
  • Il tuo CSR è protetto da password. Disabilita la password in modo che l’Autorità di Certificazione che emette il certificato SSL possa leggere il codice CSR.
  • Il codice CSR manca di alcuni campi o informazioni obbligatorie. Puoi trovare l’elenco completo dei campi sul nostro Generatore di CSR.
  • Il tuo CSR potrebbe contenere altre informazioni non corrette o non consentite. Consulta questo articolo delle FAQ con i dettagli sulle informazioni e la formattazione consentite.

Per correggere il tuo codice CSR devi generarne uno nuovo. Dopodiché, prova a configurare o a riemettere il tuo certificato SSL con il nuovo codice CSR. Se il problema persiste, apri un ticket con noi e inviaci il codice CSR. Decodificheremo il CSR e ti diremo qual è il problema, in modo che tu possa risolverlo.

Copia link

Cos’è la cartella .well-known?

All’interno della directory ~/public del tuo server, potresti trovare la cartella .well-known. Gli URI noti sono identificatori di risorse uniformi per servizi o informazioni note, disponibili in modo coerente su tutti i server all’interno degli URL.

Alcuni server creano la cartella .well-known automaticamente, ma a volte è necessario aggiungerla manualmente. Questa cartella funge da protocollo web per recuperare i metadati di un sito su un host prima di effettuare una richiesta.

A cosa serve la cartella .well-known?

Quando ordini un certificato SSL, devi dimostrare la proprietà del dominio come parte del DCV. Se scegli il metodo HTTP/HTTPS, dovrai creare la directory .well-known, la cartella in cui dovrai caricare un file di testo che la CA dovrà scansionare e approvare la tua richiesta SSL.

Il file deve essere accessibile tramite un link al sito web. Dopo aver aggiunto il file di convalida, il sistema CA crawler scansionerà il tuo sito web e cercherà il file. Una volta trovato, la convalida del dominio dovrebbe essere superata in pochi minuti.

Copia link

Come creare la cartella .well-known?

Per creare la cartella well-known, dovrai accedere al tuo server tramite un client SFTP, un pannello di controllo del web hosting o qualsiasi altro mezzo appropriato. Ecco come creare la cartella .well-known sulle piattaforme più diffuse:

Come creare la cartella .well-known sui server basati su Linux?

Le istruzioni che seguono sono valide per i server Ubuntu, Debian e CentOS.

  1. Vai alla directory principale del tuo sito web
  2. Crea una directory chiamata “.well-known”.
  3. Al suo interno, crea un’altra cartella chiamata “pki-validation”.
  4. Carica il file TXT nella directory “pki-validation”.

Come creare la cartella .well-known in cPanel?

  1. Accedi a WHM, oppure salta questo passaggio se non hai WHM
  2. Individua e accedi all’account cPanel del tuo nome di dominio
  3. Clicca su “File Manager”.
  4. Scegli l’opzione “Root Web (public_html/www)” e clicca su “Vai”.
  5. Crea una nuova cartella chiamata .well-known
  6. All’interno di questa cartella crea un’altra cartella chiamata: pki-validation
  7. Carica il tuo file TXT all’interno della cartella pki-validation

Come creare la cartella .well-known in Plesk?

  1. Usa l’opzione File Manager e vai alla sezione File nel menu di destra.
  2. Dovresti creare la cartella.well-known nella cartella principale del tuo dominio, che in Plesk è httpdocs.
  3. Per creare la cartella, seleziona Nuovo, quindi Crea cartella.
  4. All’interno dellacartella .well-known, crea la sottocartella pki-validation .
  5. Usa il pulsante Carica per aggiungere il file TXT di convalida nella cartella pki-validation.

Come creare la cartella .well-known nei server Windows IIS?

I server basati su Windows non consentono di inserire un punto nel nome di una cartella, pertanto è necessario seguire questi passaggi:

  1. Vai all’unità C:
  2. Crea una nuova cartella chiamata well-known
  3. All’interno della cartella well-known, crea un’altra cartella denominata pki-validation.
    Finora le tue cartelle dovrebbero avere il seguente aspetto: C:well-knownpki-validation
  4. Carica il file TXT nella cartella pki-validation
  5. Apri IIS Manager sul tuo server
  6. Fai clic con il tasto destro del mouse sul tuo sito web e seleziona Aggiungi directory virtuale.
  7. Nella sezione Alias scrivi .well-known
  8. Nell’area Percorso psichico inserisci il percorso della cartella nota. Ad esempio:
    C:well-known
  9. Premi OK per creare questo alias

Come creare una cartella .well-known in WordPress?

Puoi creare una cartella .well-known in WordPress in tre modi diversi.

  1. Utilizzo di un plugin speciale
  2. Attraverso il pannello del tuo hosting web
  3. Tramite un client SFTP come FileZilla

Non consigliamo di utilizzare un plugin perché potrebbe causare problemi di compatibilità e sicurezza nel tempo. Utilizza invece le nostre istruzioni qui sopra per creare la cartella .well-known in cPanel, il pannello di hosting più diffuso.

Se non hai cPanel, usa un client SFTP. Collegati al tuo server e all’interno della cartella ~/public cerca la cartella .well-knwon. Se non c’è, clicca con il tasto destro del mouse sulla cartella public, scegli Crea directory e rinomina la nuova directory .well-known.

Come creare una cartella .well-known in AWS?

  1. Usa il comando bash per creare la cartella .well-known.nell’istanza AWS EC2:
    mkdir-p .well-known/pki-validation
  2. Metti il tuo file di convalida nella sottocartella pki-validation:
    nano.well-known/pki-validation/HashFileName.txt

Come creare un file .well-known in macOS X Server?

Collegati al tuo server tramite il client FTP integrato o l’interfaccia a riga di comando.

FTP

  1. Premi Comando+K
  2. Nella finestra Connetti al server, inserisci l’indirizzo del server FTP. Ad esempio, ftp://ftp.yourdomain.com. Clicca su Connetti.
  3. Inserisci quindi il tuo nome utente e la tua password FTP e premi di nuovo Connect.
  4. Trova la directory principale del tuo dominio.
  5. Crea una directory chiamata .well-known
  6. All’interno della cartella. well-known, crea un’altra cartella chiamata pki-validation.
  7. Carica il file TXT all’interno della directory pki-validation

Interfaccia a riga di comando

Puoi utilizzare SSH e il protocollo Secure Copy per caricare il file TXT.

scp AC3E5D6I8G12935LSJEIK.txt

your_username@hostname:tld://Library/WebServer/Documents/.well-known/pki-validation

Dove ‘AC3E5D6I8G12935LSJEIK.txt’ è il nome del file di convalida, ‘your_username’è il nome utente del tuo account server, ‘hostname.tld’ è il nome host del tuo server Mac OSX e ‘/Library/WebServer/Documents/’ è la directory predefinita della cartella principale del documento.

Per tutti i tipi di server, se hai fatto tutto correttamente, dovresti essere in grado di aprire il seguente URL e vedere il codice hash insieme a “comodoca.com” in qualsiasi browser web:

http://mywebsite.com/.well-known/pki-validation/HashFileName.txt

Copia link

Motivi di convalida del marchio

 

In alcuni casi, le CA possono richiedere una verifica manuale se il tuo ordine non rispetta le regole interne di convalida del marchio. Ci vogliono circa 24-48 ore per superare questa verifica manuale e in questi casi il CA emetterà o rifiuterà l’ordine.

Ecco i motivi più comuni per cui le autorità di certificazione decidono di effettuare la convalida del marchio per alcuni ordini:

  1. Gli ordini provenienti da alcuni paesi vengono esaminati manualmente più spesso di altri, ad esempio: Corea del Sud, Corea del Nord, Giappone;
  2. Paesi limitatiRussia (RU), Bielorussia (BY) (dal 2022), Afghanistan (AF), Crimea (Russia), Costa d’Avorio (CI), Cuba (CU), Eritrea (ER), Guinea (GN), Iraq (IQ), Iran (IR), Repubblica Popolare Democratica di Corea (KP), Liberia (LR), Myanmar (MM), Rwanda (RW), Sudan (SD), Sierra Leone (SL), Sud Sudan (SS), Repubblica Araba Siriana (SY), Venezuela (VE), Zimbabwe (ZW) – NON vengono rilasciati SSL per questi paesi: https://sectigo.com/knowledge-base/detail/Banned-Country-List-1527076085907/kA01N000000zFKI e https://knowledge.digicert.com/solution/Embargoed-Countries-and-Regions.html
  3. Il nome di dominio include un marchio, come ad esempio: facebook-app.com, sony-shop.net, dellshop.com, ecc;
  4. Il nome del dominio potrebbe avere un marchio nascosto. Ad esempio, il tuo dominio è “sibmama.com”, ma il sistema di validazione automatica potrebbe leggerlo come “sIBMama” e segnalare il marchio “IBM”. L’autorità di certificazione vuole verificare questi ordini manualmente;
  5. Il nome di dominio contiene “parole d’ordine”, come ad esempio: pay, online, secure, booking, shop, bank, transfer, money, e-payment, payment, protection, violence, terrorists e altre. Queste e molte altre parole sono impostate come parole di attivazione all’interno del sistema di convalida e fanno sì che l’autorità di certificazione esamini manualmente tali ordini;
  6. Il nome di dominio è nella lista nera o ha una cattiva reputazione.
    ID dell'ordine del partner

Cosa puoi fare per accelerare il processo?

Contatta Sectigo e Thawte, RapidSSL, GeoTrust, DigiCert direttamente tramite live chat e discuti la situazione con il rappresentante della CA.

Ti preghiamo di indicare il tuo “ID ordine partner” nel tuo messaggio.  Puoi trovare il tuo “Partner Order ID” nella pagina dei dettagli del tuo certificato SSL all’interno del tuo account SSL Dragon. Vedi la schermata a destra.

Copia link

Posso assicurarmi un nome di dominio con estensione .local?

Purtroppo i nomi di dominio che terminano con .local non sono più supportati dal 1° novembre 2015. Se richiedi un certificato SSL per un dominio o sottodominio con estensione .local, il tuo certificato SSL verrà rifiutato dall’Autorità di Certificazione.

Se vuoi proteggere un dominio o un sottodominio sul tuo host locale, puoi creare un certificato SSL autofirmato. C’è molta documentazione online su come farlo.

Copia link

Posso proteggere un indirizzo IP con un certificato SSL?

Sì, puoi proteggere un indirizzo IP con un certificato SSL. Tuttavia, solo alcuni certificati SSL specifici diti permetteranno di farlo. Ecco i certificati SSL in questione:

– Sectigo InstantSSL Premium
– GoGetSSL IP pubblico SAN

Ti ricordiamo che Sectigo InstantSSL Premium è un certificato SSL a convalida aziendale, il che significa che per ottenere questo certificato SSL devi avere un’azienda registrata.

GeGetSSL Public IP SAN è un certificato SSL a convalida di dominio che protegge 2 indirizzi IP per impostazione predefinita.

Copia link

Come modificare il metodo di convalida del dominio?

Valido solo per i certificati Sectigo e GoGetSSL:

Segui i passi successivi per modificare il tipo di convalida del dominio del tuo certificato SSL:

  1. Accedi al tuo account SSL Dragon;
  2. Vai su “Certificati SSL” -> “I miei certificati SSL“;
  3. Vedrai l’elenco dei prodotti che hai acquistato da SSL Dragon. Clicca sul certificato SSL per il quale desideri modificare il tipo di convalida del dominio;
  4. Clicca sul pulsante “Cambia metodo DV” che trovi in fondo alla pagina;
  5. Scegli il nuovo metodo di convalida del dominio per il tuo dominio (o i tuoi domini); per maggiori informazioni sul significato di ciascun tipo di convalida, consulta questo link;(Importante: il metodo di convalida HTTP non è più disponibile per i certificati SSL Wildcard).
  6. Clicca su “Invia” per rendere effettivo il nuovo metodo di convalida.

Copia link

Perché la convalida del dominio per l’SSL multidominio è così lenta?

Quando acquisti un certificato SSL multidominio e vi includi diversi nomi di dominio e/o sottodomini, le Autorità di Certificazione ti chiedono di superare la convalida del dominio per ogni singolo nome di dominio e/o sottodominio che hai incluso nel tuo certificato SSL multidominio e solo dopo ciò, il certificato SSL multidominio ti verrà rilasciato.

POSSIBILE PROBLEMA: a volte gli indirizzi e-mail, le opzioni HTTP o i record DNS scelti per il tuo certificato multidominio non vengono impostati correttamente quando raggiungono l’Autorità di Certificazione. Te ne accorgerai quando vedrai che hai ricevuto un solo messaggio di convalida del dominio al tuo indirizzo e-mail invece di ricevere diversi messaggi di convalida del dominio, oppure che lo stato del tuo certificato SSL multidominio è ancora “In attesa di convalida (completo)” anche se hai superato la convalida del dominio per uno dei domini.

ID dell'ordine del partnerCOME RISOLVERE: Esiste un modo semplice per risolvere il problema, che consiste nel contattare il dipartimento di convalida dell’autorità di certificazione. Quando li contatti, fornisci loro il tuo “Partner Order ID” (vedi schermata a destra) e comunica il metodo di convalida del dominio che hai scelto: HTTP, DNS o e-mail. Se hai scelto di passare la convalida dei domini via e-mail, verifica con i rappresentanti del Dipartimento di Convalida quali sono gli indirizzi e-mail impostati nel loro sistema e chiedi loro di inviarti i messaggi di convalida del dominio agli indirizzi e-mail desiderati.

Sectigo/GoGetSSL

Chiama il Dipartimento di Convalida Sectigo al numero +1 (888) 266-6361 o https://sectigo.com/support per i motivi sopra indicati. Quando parlerai con loro, dovrai fornire il tuo “ID ordine partner”.

Thawte, GeoTrust, DigiCert

Chiama il Dipartimento di Convalida di Thawte, GeoTrust, DigiCert al numero +1 (877) 438-8776 per i motivi sopra indicati. Tieni presente che Thawte, GeoTrust, DigiCert sono tutti di proprietà di DigiCert e hanno lo stesso numero di telefono indicato sopra. Quando parli con loro, dovrai fornire il “Partner Order ID”.

Copia link

Quanto dura il processo di convalida?

Il tempo di convalida di un SSL dipende dal tipo di certificato che hai scelto di acquistare.

I certificati convalidati dal dominio vengono emessi entro 3-5 minuti nel 99% dei casi. Solo quando viene richiesto un certificato SSL per un nome di dominio che contiene un marchio o un nome di marca, questi certificati SSL possono superare la convalida del marchio e possono richiedere fino a un giorno lavorativo per essere emessi.

I certificati Business Validated vengono solitamente emessi entro 1-3 giorni lavorativi.

I certificati Extended Validated possono richiedere da 1 a 7 giorni lavorativi per essere emessi. L’Autorità di Certificazione svolge la sua parte di lavoro molto rapidamente. Se tutte le informazioni vengono fornite all’Autorità di Certificazione in modo rapido e corretto, l’Autorità di Certificazione può emettere il certificato EV entro un giorno lavorativo. Abbiamo visto situazioni in cui il certificato EV è stato rilasciato nel giro di poche ore. Il periodo di 1-7 giorni dipende dalla rapidità con cui il cliente fornisce le informazioni richieste all’Autorità di Certificazione e dalla rapidità con cui il cliente risponde alle eventuali richieste di informazioni aggiuntive da parte dell’Autorità di Certificazione.

Effettuando il processo di validazione, l’Autorità di Certificazione cerca di confermare che sei il proprietario del dominio e che l’azienda per cui stai richiedendo un certificato Business Validation o Extended Validation è attiva. Per questo motivo è importante che tu tenga aggiornati i dati della tua azienda (indirizzo e numero di telefono) e che risponda prontamente alle richieste dell’Autorità di Certificazione.

Copia link

Come convalidare un indirizzo IP su un router

Se il tuo router ha un indirizzo IP pubblico, puoi comunque convalidarlo.

La convalida HTTP/HTTPS è l’unico metodo disponibile per la convalida dell’indirizzo IP. Il metodo di convalida HTTP/HTTPS consiste nell’aggiungere un file TXT al tuo indirizzo IP e nel far sì che Sectigo lo scansioni e lo convalidi. Non c’è modo di caricare un file TXT sul tuo router. La soluzione per ottenere la convalida dell’indirizzo IP consiste nel reindirizzare l’indirizzo IP verso un server, inserire il file TXT su tale server, superare la convalida dell’IP e quindi reindirizzare gli indirizzi IP verso il router.

Per maggiori informazioni su cosa deve contenere il file TXT e su dove caricarlo, puoi consultare il seguente punto delle FAQ: https://www.ssldragon.com/faq/pass-validation-public-ip-address-ssl-certificate/

 

Copia link