Como passar na validação de controle de domínio (DCV)?

A Validação de Controle de Domínio (DCV) ajuda a evitar a emissão não autorizada de certificados SSL. Sem ele, a ativação do SSL não é possível. Este guia aborda o processo de DCV e mostra como passá-lo de várias maneiras. Use o método DCV para os certificados SSL mais adequados a suas habilidades e situação.

Índice

1. O que é a validação de controle de domínio (DCV)?
2. Quais são os métodos DCV?
3. Etapa final: Verifique o registro da CAA

O que é a validação de controle de domínio (DCV)?

A validação de controle de domínio é uma das verificações que as autoridades de certificação realizam para verificar se a pessoa que solicita um certificado SSL é proprietária do domínio ou tem direitos de administrador sobre ele. Todo candidato deve ser aprovado no DCV antes de receber o certificado SSL da CA. Não é necessária nenhuma documentação, e o processo é simples.

Quais são os métodos DCV?

Para confirmar que você tem acesso de administrador ao domínio que deseja criptografar, as CAs fornecem três métodos de DCV. Nós os exploraremos em detalhes.

1. Validação de e-mail

A maneira mais popular e fácil de validar um certificado SSL é por e-mail. A CA enviará um e-mail de aprovação para o endereço de e-mail do WHOIS ou do domínio com o código de validação. Abra o link dentro do e-mail e cole o código de validação para passar no DCV. Todo o processo é automatizado e deve levar menos de 5 minutos para obter um certificado de validação de domínio.

Apenas endereços de e-mail específicos baseados em domínios ou o seu endereço de e-mail de contato da WOIS são elegíveis para o método de e-mail DCV. O problema com o e-mail do WHOIS é que ele geralmente fica oculto por motivos de privacidade, e as CAs não podem vê-lo. Se não souber o endereço de e-mail do WHOIS, verifique o painel de controle do domínio ou entre em contato com o registrador do domínio.

Como alternativa, use um dos seguintes e-mails pré-aprovados baseados em domínio:

• [email protected]
• [email protected]
• [email protected]
• [email protected]

Substitua @yoursite.com pelo seu nome de domínio.

Não recebeu o e-mail de validação? Veja o que fazer:

1. Verifique sua pasta de spam e lixo eletrônico. Os filtros de e-mail podem marcar erroneamente o e-mail da CA como spam.
2. Verifique novamente seu endereço de e-mail. Verifique se o endereço é aceitável e se não há erros de digitação.
3. Reenvie seu e-mail.
4. Se nada funcionar, procure o suporte de seu provedor de SSL.

Selecionei um endereço de e-mail que não existe…

Se você escolheu um endereço de e-mail inexistente, não entre em pânico. É muito fácil para administradores inexperientes inserir um endereço de e-mail baseado em domínio que ainda não foi criado. A solução é simples:

1. Acesse o painel de controle da hospedagem e crie o endereço de e-mail baseado no domínio que você especificou para a validação.
2. Reenviar o e-mail de aprovação.

Importante! Desde 16 de junho de 2021, a Sectigo não aceita mais endereços de e-mail baseados em WHOIS para a Validação de Controle de Domínio (DCV).

2. Validação de DNS

A validação do DNS é um método mais técnico. Isso requer a criação de um registro CNAME (um tipo de registro DNS que mapeia um nome de alias para um nome canônico de um domínio) nas configurações de DNS do seu domínio.

Em termos simples, o DNS, que significa sistema de nomes de domínio, é como uma lista telefônica para a Web, conectando navegadores da Web a sites. Ele traduz nomes de domínio legíveis por humanos, como yoursite.com em endereços IP legíveis por máquina, como 89.145.93.29 por exemplo.

Se você selecionar o método DNS, receberá valores de registro de validação exclusivos para seu pedido específico. Você pode encontrar o registro na sua conta de fornecedor de SSL.

Durante a validação do SSL, sua CA verifica se a entidade que está solicitando o certificado SSL é o proprietário legítimo do domínio. Um método que uma AC pode usar para verificar a propriedade do domínio é verificar se há um registro TXT do DNS com um valor específico. A CA fornecerá um valor exclusivo a ser adicionado ao registro TXT do DNS, e a CA verificará se o registro contém esse valor. Ao verificar o registro TXT do DNS, a CA pode ter certeza de que o domínio pertence a você.

Após a ativação do certificado SSL, é necessário adicionar os valores de registro de domínio predefinidos ao seu registrador de domínios (o site em que você registrou seu nome de domínio). Certifique-se de que seu firewall não esteja bloqueando o robô de validação da CA.

1. Faça login na sua conta de registrador de domínio e acesse as configurações de DNS do seu domínio.
2. Crie o registro CNAME usando o valor do registro de domínio da sua conta de fornecedor.
3. Configure o TTL (Time to Live) mínimo disponível para o registro a fim de evitar longos atrasos enquanto o registro se propaga ou se ele for criado incorretamente.

Verifique seu registro CNAME

O Sectigo e o GoGetSSL exigem um tipo de DNS CNAME, que tem a seguinte aparência:

_b2013ea8353c9760c0221c49dc3e8ca7.yourwebsite.com CNAME

165b83449f4fdf83021de4e6f6ee795a.4ae75dbefe3r7bb8a1878616d8b5ae4.5r4r46855d28f6903.comodoca.com.

A DigiCert, a Thawte, a GeoTrust e a RapidSSL exigem o tipo de DNS TXT, que tem a seguinte aparência:

yourwebsite.com TXT “w34f54t4t45t354eer98rn4jf4449nfrf”

ou

dnsauth.yourwebsite.com TXT “w34f54t4t45t354eer98rn4jf4449nfrf”.

Aqui está uma ferramenta que verifica seu registro CAME e a mesma ferramenta para o tipo TXT . Use-o para garantir que o registro foi configurado corretamente.

Configurei o registro CNAME, o que vem a seguir?

Os registros DNS recém-adicionados levam até 72 horas para serem propagados em todo o mundo, embora normalmente isso leve algumas horas. Por esse motivo, você pode esperar até três dias para concluir o processo de ativação. Geralmente, as outras duas opções são mais adequadas se você solicitar um certificado de Validação de Domínio e quiser que ele esteja disponível em apenas alguns minutos.

Validação de HTTP/HTTPS

Importante! Este método não está mais disponível ao validar certificados SSL curinga.

Esse método exige que você carregue o arquivo de validação TXT no diretório do seu domínio. Verifique se você pode se conectar à sua conta de hospedagem por meio do painel de controle ou FTP e se a sua CA pode acessá-la de qualquer navegador da Web.

A CA examinará seu site e procurará esse arquivo no link indicado. Quando o rastreador da CA encontrar o arquivo TXT em seu site, seu certificado SSL será aprovado na validação do domínio.

O método de validação de HTTPS é o mesmo descrito acima. Você deve escolher a opção HTTPS se já tiver um certificado SSL em seu site.

Onde posso obter o arquivo de validação?

Você encontrará o arquivo de validação na conta do seu fornecedor depois de selecionar a opção baseada em arquivo. O arquivo de validação é um arquivo .txt nomeado com números e letras (exemplo: B4DS4C5H73UFGJDHJ.txt).

Depois de fazer o download do arquivo de validação, é necessário carregá-lo em seu servidor/painel de hospedagem. Você deve carregar o arquivo na pasta “.well-known” e a subpasta “pki-validation” do diretório raiz do documento para o nome de domínio.

Como resultado, o arquivo de validação deve estar acessível por meio do caminho solicitado para a validação: http://yoursite.com/.well-known/pki-validation/B4DS4C5H73UFGJDHJ.txt.

3. Validação da marca

Em alguns casos raros, a CA pode exigir a validação manual do domínio, também conhecida como validação de marca. Essa verificação manual leva até 48 horas para ser aprovada, e o CA emitirá ou rejeitará uma ordem nesses casos. Aqui estão os motivos mais comuns para que seu pedido não seja validado pela marca:

• O nome de domínio está na lista negra ou tem uma reputação questionável.
• O nome de domínio inclui palavras de parada como on-line, seguro, pagamento, banco e muitas outras que acionam automaticamente o sistema de validação para rejeitá-las; portanto, é necessária a verificação manual.
• O nome de domínio pode ter um nome de marca oculto. Por exemplo, seu domínio é “sibmama.com”, mas o sistema de validação automatizado pode lê-lo como “sIBMama” e sinalizar a marca “IBM” para uma verificação manual.
• Seu pedido é proveniente de um país restrito.

Etapa final: Verifique o registro da CAA

A partir de 8 de setembro de 2017, todas as Autoridades de Certificação (CAs) devem aderir à sua política de CAA como medida de segurança.

O registro da CAA deve permitir que a CA emita o SSL para o seu nome de domínio; caso contrário, o pedido será definido como Pendente até que você atualize o registro.

Por padrão, se não houver nenhum registro de CAA, qualquer CA poderá emitir SSL para o seu nome de domínio. Caso contrário, você deve atualizar seu registro no CAA.

Conclusão

Concluindo, a validação de controle de domínio é essencial para garantir a segurança das comunicações na Web, proteger os usuários contra possíveis riscos e evitar a emissão não autorizada de certificados. Com vários métodos de validação disponíveis, o DCV é relativamente rápido e fácil. Essa é uma etapa necessária para qualquer proprietário de site que queira obter um certificado SSL validado por controle de domínio e estabelecer uma presença on-line segura.

Perguntas frequentes

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Economize 10% agora!

Escrito por Dionisie Gitlan

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.