Validação de domínio

Ao configurar, reemitir ou renovar seu certificado SSL, se não for possível escolher o método de validação de domínio ou se você encontrar uma mensagem de erro, isso significa que há um erro de CSR. Aqui estão os erros de CSR mais comuns e as maneiras de corrigi-los:

• Se você tiver um certificado SSL curinga (para vários subdomínios), o nome comum no CSR deverá começar com um asterisco e um ponto (*.), como neste exemplo *.website.com. Para certificados SSL normais, não curinga, o nome comum deve ter um dos seguintes formatos: website.com, www.website.com ou my.website.com.
• Criptografia de chave incorreta (por exemplo, 4096 bits). Faça a criptografia de chave de 2048 bits.
• Seu CSR é protegido por senha. Desative a senha para que a autoridade de certificação que emite o certificado SSL possa ler o código CSR.
• O código CSR está faltando alguns campos ou informações obrigatórios. Você pode encontrar a lista completa de campos em nosso Gerador de CSR.
• Seu CSR pode ter outras informações incorretas ou não permitidas. Consulte este artigo de perguntas frequentes com detalhes sobre informações e formatação permitidas.

Para corrigir seu código CSR, você precisa gerar um novo. Depois disso, tente configurar ou reemitir seu certificado SSL com o novo código CSR. Se o problema persistir, abra um tíquete conosco e envie-nos o código CSR. Decodificaremos o CSR e informaremos qual é o problema, para que você possa corrigi-lo.

Copiar link

No diretório ~/public do seu servidor, você pode encontrar a pasta .well-known. Os URIs conhecidos são Identificadores Uniformes de Recursos para serviços ou informações conhecidos, disponíveis de forma consistente nos servidores em URLs.

Alguns servidores criam a pasta .well-known automaticamente, mas, às vezes, pode ser necessário adicioná-la manualmente. Esse diretório funciona como um protocolo baseado na Web para obter metadados do site sobre um host antes de fazer uma solicitação.

Para que é usada a pasta .well-known?

Ao solicitar um certificado SSL, você deve comprovar a propriedade do domínio como parte do DCV. Se você escolher o método HTTP/HTTPS, terá de criar o diretório .well-known, a pasta na qual deverá carregar um arquivo TEXT para que a CA analise e aprove sua solicitação de SSL.

O arquivo deve ser acessível por meio de um link de site ativo. Depois que você adicionar o arquivo de validação, o sistema de rastreamento da CA examinará seu site e procurará o arquivo. Quando ele o encontrar, você deverá passar pela validação do domínio em poucos minutos.

Copiar link

Para criar a pasta well-known, você precisará acessar seu servidor por meio de um cliente SFTP, um painel de controle de hospedagem na Web ou qualquer outro meio apropriado. Veja a seguir como criar a pasta .well-known nas plataformas mais populares:

Como criar a pasta .well-known em servidores baseados em Linux?

As instruções abaixo são válidas para servidores Ubuntu, Debian e CentOS.

1. Vá para o diretório raiz de seu site
2. Crie um diretório chamado “.well-known”
3. Dentro dela, crie outra pasta chamada “pki-validation”
4. Carregue o arquivo TXT dentro do diretório “pki-validation”.

Como criar a pasta .well-known no cPanel?

1. Faça login no WHM ou ignore esta etapa se você não tiver o WHM
2. Localize e faça login na conta cPanel do seu nome de domínio
3. Clique em “File Manager” (Gerenciador de arquivos)
4. Escolha a opção “Raiz da Web (public_html/www)” e clique em “Ir”.
5. Crie uma nova pasta chamada .well-known
6. Dentro dessa pasta, crie outra pasta chamada: pki-validation
7. Carregue seu arquivo TXT dentro da pasta pki-validation

Como criar a pasta .well-known no Plesk?

1. Use a opção File Manager e vá para a seção Files (Arquivos) no menu do lado direito.
2. Você deve criar a pasta.well-known na pasta raiz do documento padrão do seu domínio, que no Plesk é httpdocs.
3. Para criar a pasta, selecione New e , em seguida, Create Directory.
4. Dentro dapasta .well-known, crie a subpasta pki-validation .
5. Use o botão Upload para adicionar o arquivo TXT de validação à pasta pki-validation.

Como criar a pasta .well-known em servidores Windows IIS?

Os servidores baseados no Windows não permitem que você coloque um ponto em um nome de pasta, portanto, é necessário seguir estas etapas:

1. Vá para a unidade C:.
2. Crie uma nova pasta chamada well-known
3. Dentro da pasta conhecida, crie outra pasta chamada pki-validation.
   Até o momento, suas pastas devem ter a seguinte aparência: C:well-knownpki-validation
4. Faça upload do arquivo TXT na pasta pki-validation
5. Abra o Gerenciador do IIS em seu servidor
6. Clique com o botão direito do mouse em seu site e selecione Add Virtual Directory (Adicionar diretório virtual)
7. Na seção Alias, escreva .well-known
8. Na área Psychical Path (Caminho psíquico), digite o caminho para a pasta conhecida. Por exemplo:
   C:bem conhecido
9. Pressione OK para criar esse alias

Como criar uma pasta .well-known no WordPress?

Você pode criar uma pasta .well-known no WordPress de três maneiras diferentes.

1. Usando um plug-in especial
2. Por meio do painel de sua hospedagem na Web
3. Por meio de um cliente SFTP, como o FileZilla

Não recomendamos o uso de um plug-in, pois ele pode causar problemas de compatibilidade e segurança ao longo do tempo. Em vez disso, use nossas instruções acima para criar a pasta .well-known no cPanel, o painel de hospedagem mais popular.

Se você não tiver o cPanel, use um cliente SFTP. Conecte-se ao seu servidor e, dentro da pasta ~/public, procure o diretório .well-knwon. Se ele não estiver lá, clique com o botão direito do mouse na pasta pública, escolha Criar diretório e nomeie o novo diretório como .well-known.

Como criar uma pasta .well-known no AWS?

1. Use o comando bash para criar a pasta .well-known.folder na instância do AWS EC2:
   mkdir -p .well-known/pki-validation
2. Coloque seu arquivo de validação na subpasta pki-validation:
   nano .well-known/pki-validation/HashFileName.txt

Como criar o .well-known no macOS X Server?

Conecte-se ao seu servidor por meio do cliente FTP integrado ou da interface de linha de comando.

FTP

1. Pressione Command+K
2. Na janela Conectar ao servidor, digite o endereço do servidor FTP. Por exemplo, ftp://ftp.yourdomain.com. Clique em conectar.
3. Em seguida, digite o nome de usuário e a senha do FTP e pressione Connect (Conectar) novamente.
4. Localize o diretório raiz de seu domínio.
5. Crie um diretório chamado .well-known
6. Dentro do. bem conhecida, crie outra pasta chamada pki-validation.
7. Faça upload do arquivo TXT dentro do diretório pki-validation

Interface de linha de comando

Você pode usar o SSH e o protocolo Secure Copy para carregar o arquivo TXT.

scp AC3E5D6I8G12935LSJEIK.txt

your_username@hostname:tld://Library/WebServer/Documents/.well-known/pki-validation

Onde ‘AC3E5D6I8G12935LSJEIK.txt’ é o nome do arquivo de validação, ‘your_username’ é o nome de usuário da conta do servidor, ‘hostname.tld’ é o nome do host do servidor Mac OSX e ‘/Library/WebServer/Documents/’ é o diretório padrão da pasta raiz do documento.

Para todos os tipos de servidor, se você tiver feito tudo corretamente, deverá ser capaz de abrir o seguinte URL e ver o código hash junto com “comodoca.com” em qualquer navegador da Web:

http://mywebsite.com/.well-known/pki-validation/HashFileName.txt

Copiar link

Em alguns casos, as ACs podem exigir verificação manual se o seu pedido não passar em alguma regra interna de validação de marca. Leva cerca de 24 a 48 horas para passar nessa verificação manual, e a AC emitirá ou rejeitará um pedido nesses casos.

Aqui estão os motivos mais comuns pelos quais as autoridades de certificação decidem fazer a validação da marca para alguns pedidos:

1. Os pedidos de alguns países são revisados manualmente com mais frequência do que outros, por exemplo:  Coreia do Sul, Coreia do Norte, Japão;
2. Países restritos –
   Rússia (RU), Belarus (BY) (desde 2022),
   Afeganistão (AF), Crimeia (Rússia), Costa do Marfim (CI), Cuba (CU), Eritreia (ER), Guiné (GN), Iraque (IQ), Irã (IR), República Popular Democrática da Coreia (KP), Libéria (LR), Myanmar (MM), Ruanda (RW), Sudão (SD), Serra Leoa (SL), Sudão do Sul (SS), República Árabe da Síria (SY), Venezuela (VE), Zimbábue (ZW) – Os SSL NÃO são emitidos para esses países: https://sectigo.com/knowledge-base/detail/Banned-Country-List-1527076085907/kA01N000000zFKI e https://knowledge.digicert.com/solution/Embargoed-Countries-and-Regions.html
3. O nome de domínio inclui um nome de marca, como: facebook-app.com, sony-shop.net, dellshop.com, etc;
4. O nome de domínio pode ter um nome de marca oculto. Por exemplo, seu domínio é “sibmama.com”, mas o sistema de validação automatizado pode lê-lo como “sIBMama” e sinalizar a marca “IBM”. A autoridade certificadora deseja verificar esses pedidos manualmente;
5. O nome de domínio tem “stop words”, como: pay, online, secure, booking, shop, bank, transfer, money, e-payment, payment, protection, violence, terrorists e outras. Essas palavras e muitas outras são definidas como palavras de acionamento dentro do sistema de validação e fazem com que a autoridade de certificação revise esses pedidos manualmente;
6. O nome de domínio está na lista negra OU tem má reputação.
   

O que você pode fazer para acelerar o processo?

Entre em contato com a Sectigo e Thawte, RapidSSL, GeoTrust, DigiCert diretamente via chat ao vivo e discuta a situação com o representante da CA.

Por favor, mencione seu “ID de pedido de parceiro” em sua mensagem.  Você pode encontrar seu “ID de pedido de parceiro” na página de detalhes do seu certificado SSL na sua conta do SSL Dragon. Veja a captura de tela à direita.

Copiar link

Infelizmente, os nomes de domínio que terminam com .local não são compatíveis a partir de 1º de novembro de 2015. Se você solicitar um certificado SSL para um domínio ou subdomínio que tenha .local como extensão, seu certificado SSL será rejeitado pela autoridade de certificação.

Se quiser proteger um domínio ou subdomínio em seu host local, você poderá criar um certificado SSL autoassinado. Há muita documentação on-line sobre como fazer isso.

Copiar link

Sim, você pode proteger um endereço IP com um certificado SSL. No entanto, somente alguns certificados SSL específicos permitirão que você faça isso. Aqui estão esses certificados SSL:

– Sectigo InstantSSL Premium
– GoGetSSL Public IP SAN

Observe que o Sectigo InstantSSL Premium é um certificado SSL de validação comercial , o que significa que você precisa ter uma empresa registrada para receber esse certificado SSL .

O GeGetSSL Public IP SAN é um certificado SSL de validação de domínio que protege 2 endereços IP por padrão.

Copiar link

Válido somente para certificados Sectigo e GoGetSSL:

Siga as próximas etapas para alterar o tipo de validação de domínio do seu certificado SSL:

1. Faça login em sua conta do SSL Dragon;
2. Acesse “SSL Certificates” (Certificados SSL) -> “My SSL Certificates“ (Meus certificados SSL);
3. Você verá a lista de produtos que comprou da SSL Dragon. Clique no certificado SSL para o qual você deseja alterar o tipo de validação de domínio;
4. Clique no botão “Change DV Method” (Alterar método DV), que se encontra na parte inferior da página;
5. Escolha o novo método de validação de domínio para seu(s) domínio(s); você pode ler mais sobre o que cada tipo de validação significa neste link;(Importante: o método de validação HTTP não está mais disponível para certificados SSL curinga).
6. Clique em “Submit” (Enviar) para que o novo método de validação entre em vigor.

Copiar link

Quando você compra um Certificado SSL de vários domínios e você incluir vários nomes de domínio e/ou subdomínios nele, as Autoridades de Certificação exigirão que você passe na validação de domínio para cada um dos domínios nome e/ou subdomínio que você incluiu no seu Certificado SSL para vários domínios e, somente depois disso, o Certificado SSL para vários domínios será emitido para você.

PROBLEMA POSSÍVEL: Às vezes, os endereços de e-mail, as opções de HTTP ou os registros de DNS escolhidos para o certificado de vários domínios não são definidos corretamente quando chegam à autoridade de certificação. Você saberá disso quando vir que recebeu apenas uma única mensagem de validação de domínio no seu endereço de e-mail, em vez de receber várias mensagens de validação de domínio, ou quando o status do seu certificado SSL de vários domínios ainda for exibido como “Aguardando validação (completa)”, embora você tenha passado na validação de um dos domínios.

COMO CORRIGIR: há uma maneira fácil de corrigir isso, e para isso é necessário entrar em contato com o Departamento de Validação da Autoridade de Certificação. Ao entrar em contato com eles, forneça seu “Partner Order ID” (veja a captura de tela à direita) e, em seguida, informe o método de validação de domínio que você escolheu: HTTP, DNS ou e-mail. Se você optar por passar na validação de domínios por e-mail, verifique novamente com os representantes do Departamento de Validação quais endereços de e-mail estão definidos no sistema deles e peça que eles enviem as mensagens de validação de domínio para os endereços de e-mail desejados.

Sectigo/GoGetSSL

Entre em contato com o Departamento de Validação da Sectigo pelo telefone +1 (888) 266-6361 ou https://sectigo.com/support pelos motivos mencionados acima. Ao falar com eles, você precisará fornecer seu “Partner Order ID”.

Thawte, GeoTrust, DigiCert

Entre em contato com o Departamento de Validação da Thawte, GeoTrust e DigiCert pelo telefone +1 (877) 438-8776 pelos motivos mencionados acima. Observe que Thawte, GeoTrust, DigiCert são todos de propriedade da DigiCert e todos têm o mesmo número de telefone fornecido acima.  Ao entrar em contato com eles, você precisará fornecer o “Partner Order ID”.

Copiar link

O tempo de validação de um SSL depende do tipo de certificado que você escolheu comprar.

Os certificados Domain Validated são emitidos em 3 a 5 minutos em 99% dos casos. Somente quando um Certificado SSL é solicitado para um nome de domínio que contém uma marca registrada ou um nome de marca, esses Certificados SSL podem passar pela validação da marca e podem levar até um dia útil para serem emitidos.

Os certificados validados para empresas geralmente são emitidos em um a três dias úteis.

Os certificados com validação estendida podem levar de 1 a 7 dias úteis para serem emitidos. A autoridade de certificação faz sua parte do trabalho muito rapidamente. Se todas as informações forem fornecidas à autoridade certificadora de forma rápida e correta, ela poderá emitir o certificado EV em um dia útil. Já vimos situações em que o certificado EV foi emitido em poucas horas. O período de 1 a 7 dias depende da rapidez com que o cliente fornece as informações necessárias à autoridade certificadora e da rapidez com que o cliente responde às possíveis solicitações de informações adicionais da autoridade certificadora.

Ao realizar o processo de validação, a autoridade de certificação está tentando confirmar que você é o proprietário do domínio e que a empresa para a qual você está solicitando um certificado de validação comercial ou de validação estendida está ativa. Por isso, é importante manter os registros da sua empresa (endereço e número de telefone) atualizados e responder prontamente às solicitações da Autoridade Certificadora.

Copiar link

Se o roteador tiver um endereço IP público, você ainda poderá validar esse endereço IP.

A validação HTTP/HTTPS é o único método disponível para validação de endereço IP. O método de validação HTTP/HTTPS consiste em adicionar um arquivo TXT em seu endereço IP e fazer com que o Sectigo verifique esse endereço IP e o valide. Não há como fazer upload de um arquivo TXT em seu roteador. A solução para obter a validação do endereço IP é redirecionar o endereço IP para um servidor, colocar o arquivo TXT nesse servidor, passar na validação do IP e, em seguida, redirecionar os endereços IP de volta para o roteador.

Você pode ler mais informações sobre o que o arquivo TXT deve incluir e onde carregá-lo no seguinte item de perguntas frequentes: https://www.ssldragon.com/faq/pass-validation-public-ip-address-ssl-certificate/

Copiar link