bg-blog-articles

Ce este validarea controlului domeniului (DCV)? Ghid complet al metodelor de validare a certificatelor SSL

Când comandați un certificat SSL/TLS, Autoritatea de certificare nu îl va trimite pur și simplu. Au nevoie de dovezi că controlați efectiv domeniul pe care îl securizați. Acolo intervine Domain Control Validation (DCV). Este procesul de verificare care confirmă proprietatea domeniului înainte ca vreun certificat să fie emis.

Domain Control Validation (DCV)

Aceasta nu este doar birocraţie. DCV previne atacatorii de a obține certificatele valide pentru domenii pe care nu le posedă, ceea ce ar submina complet modelul de încredere care ține HTTPS securizat. CA/Browser Forum, organul industrial care stabilește cerințele de bază pentru emiterea certificatelor, impune metode specifice de DCV pe care trebuie să le urmeze toate Autoritățile de certificare.

În acest ghid, vom descompune ce este DCV, vom explora metodele de validare disponibile și vă vom ajuta să alegeți abordarea potrivită pentru infrastructura dumneavoastră.


Cuprins

  1. Ce este Domain Control Validation (DCV)?
  2. Metode de validare a domeniului bazate pe e-mail
  3. Metode DCV bazate pe DNS
  4. Metode de validare bazate pe fișiere HTTP/HTTPS
  5. Scenarii speciale de validare
  6. Alegerea metodei DCV potrivite pentru nevoile dumneavoastră
  7. Probleme comune cu DCV și remedii rapide

Economisiți 10% la certificatele SSL atunci când comandați de la SSL Dragon astăzi!

Emitere rapidă, criptare puternică, 99.99% încredere în browser, suport dedicat și garanție de returnare a banilor de 25 de zile. Cod cupon: SAVE10

O imagine detaliată a unui dragon în zbor

Ce este DCV (Domain Control Validation)?

Domain Control Validation (DCV) este procesul pe care Autoritățile de certificare îl folosesc pentru a verifica proprietatea domeniului înainte de emiterea unui certificat SSL/TLS. Confirmă controlul prin cere cererea ca solicitantul să răspundă prin e-mail, să încarce un fișier pe domeniu sau să configureze înregistrări DNS pentru a dovedi autoritate asupra domeniului.

Procesul funcționează așa: CA generează o provocare unică (de obicei un șir alfanumeric aleatoriu), și demonstrați controlul răspunzând prin infrastructura domeniului dvs. Aceasta ar putea fi prin înregistrări DNS, serverul dvs. web sau adrese de e-mail administrative. Odată validat, CA știe că emite certificatul către proprietarul legitim al domeniului, nu către cineva care încearcă să imite site-ul dvs.

Standarde industriale și conformitate

Cerințele de bază ale CA/Browser Forum definesc exact cum trebuie efectuată DCV. Acestea nu sunt sugestii, sunt reguli stricte pe care trebuie să le urmeze CAs sau riscă să-și piardă statutul de încredere în browsere.

Standardele actuale includ:

  • Validarea trebuie să utilizeze una din metodele DCV aprobate (abordate mai jos)
  • Multi-Perspective Issuance Corroboration (MPIC) necesită validare din mai multe perspective de rețea pentru a preveni atacurile localizate
  • Validarea este reutilizabilă pentru 397 de zile pentru certificatele Organization Validated (OV) și Extended Validation (EV)
  • Certificatele Domain Validated (DV) nu pot reutiliza validarea, trebuie să validați de fiecare dată când reînnoiți

Iată ceva important: aceste cerințe se încă strâng. Industria reduce duratele maxime ale certificatelor și perioadele de validare.

CA/Browser Forum a definit o cronologie clară pentru duratele certificatelor: sunt acum limitate la 200 de zile a partir din 15 martie 2026, cu reduceri suplimentare la 100 de zile din 15 martie 2027, și 47 de zile a partir din 15 martie 2029.

Această strângere afectează și ciclurile de validare, făcând revalidarea frecventă și automatizarea certificatelor SSL din ce în ce mai necesare.

DCV Timeline 2025-2029

Metode de validare a domeniului bazate pe e-mail

1. Verificarea e-mailului construită

Validarea prin e-mail este cea mai obișnuită metodă DCV deoarece este simplă și nu necesită modificări tehnologice infrastructurii dvs. CA trimite un e-mail care conține un link de validare sau cod la adrese specifice ale domeniului dvs.

CA va încerca aceste adrese de e-mail generice:

Nu trebuie să configurați toate acestea, doar o adresă funcțională din listă. CA verifică înregistrările MX ale domeniului dvs. pentru a confirma că e-mailul poate fi livrat, apoi trimite cererea de validare.

Când e-mailul sosește, veți face clic pe un link de verificare sau veți copia un cod în platforma de comandă a certificatului. Procesul durează de obicei doar câteva minute dacă e-mailul dvs. este configurat corect.

Această metodă funcționează bine dacă:

  • Aveți infrastructură de e-mail stabilită pentru domeniu
  • Comandați certificate ocazional, nu la scară
  • Doriți cel mai simplu proces de validare fără modificări DNS sau server web

Dezavantajul? Nu o puteți automatiza cu ușurință, și dacă e-mailul dvs. se întrerupe sau adresele nu sunt monitorizate, validarea dvs. va eșua.

2. E-mail la contactul DNS TXT

Această variație combină e-mailul cu DNS. În loc să utilizați adrese generice, publicați o adresă de e-mail specifică într-o înregistrare DNS TXT la _validation-contactemail.yourdomain.com. CA citește această înregistrare și trimite validarea la acea adresă.

De ce să utilizați această abordare?

  • Reutilizabilitate: Odată configurată, rămâne valabilă pentru întreaga perioadă de validare
  • Control centralizat: Alegeți exact ce e-mail primește cererile de validare
  • Prietenos cu echipa: Indicați o listă de distribuție, nu o cutie poștală personală

Iată configurarea practică:

_validation-contactemail.yourdomain.com. IN TXT "mailto:[email protected]"

Pur și simplu creați această înregistrare DNS TXT cu adresa dvs. de contact preferată, și CA o va utiliza automat. Aceasta este deosebit de utilă pentru organizații care gestionează mai multe certificate. Puteți standardiza validarea pe toate domeniile prin intermediul unei singure cutii poștale monitorizate.


Metode DCV bazate pe DNS

1. Validarea înregistrării DNS TXT

Validarea înregistrării DNS TXT este populară pentru flexibilitate și potențialul de automatizare. Când comandați un certificat, CA furnizează un nume de gazdă specific și un token de validare pe care îi adăugați ca înregistrare TXT la DNS-ul domeniului dvs.

Procesul de bază:

  1. CA furnizează un nume de gazdă (de obicei _dvsauth.yourdomain.com) și token în timpul comandării certificatului
  2. Creați înregistrarea TXT cu acel token ca valoare
  3. CA interogă DNS-ul dvs. pentru a confirma că înregistrarea există
  4. Odată verificat, emit certificatul

Înregistrarea arată tipic așa:

_dvsauth.yourdomain.com. IN TXT "ab1c2d3e4f5g6h7i8j9k0l1m2n3o4p5q"

Validarea DNS TXT este ideală pentru:

  • Automatizare – API-urile DNS fac aceasta scriptabilă prin clienți ACME sau instrumente personalizate
  • Mediile fără servere web – aveți nevoie doar de acces DNS
  • Certificate wildcard – vom aborda această cerință în secțiunea Scenarii speciale

Un lucru de reținut: timp de propagare DNS. Dacă nameserverele dvs. au valori TTL înalte sau propagare lentă, validarea ar putea dura mai mult. Cei mai mulți CAs vor reîncerca timp de 24 de ore, dar este mai bine să setați valori TTL mai mici înainte de a adăuga înregistrări de validare.

2. Metoda înregistrării DNS CNAME

Validarea CNAME folosește un tip diferit de înregistrare, dar realizează același obiectiv. În loc să stocați direct tokenul de validare, creați un CNAME care indică o țintă de validare controlată de CA.

Exemplu de configurare:

_dnsauth.yourdomain.com. IN CNAME random-token.dcv.digicert.com.

Diferența cheie: CNAME indică o înregistrare pe care o controlează CA, ceea ce înseamnă că pot actualiza ținta de validare fără să schimbați DNS. Unii CAs permit, de asemenea, aceasta pentru prevalidare a domeniului, setați o dată CNAME și pot valida ori de câte ori comandați certificate.

Validarea CNAME funcționează bine atunci când:

  • Furnizorul dvs. DNS face CNAME-urile mai ușor de gestionat decât înregistrările TXT
  • Doriți capacitate de prevalidare a domeniului pentru certificate OV/EV
  • Lucrați cu CAs care suportă fluxuri de validare bazate pe CNAME

Nu toți CAs oferă validare CNAME, deci verificați cu furnizorul. Dar atunci când este disponibilă, este o opțiune solidă pentru echipele care preferă acest tip de înregistrare DNS.


Economisiți 10% la certificatele SSL atunci când comandați de la SSL Dragon astăzi!

Emitere rapidă, criptare puternică, 99.99% încredere în browser, suport dedicat și garanție de returnare a banilor de 25 de zile. Cod cupon: SAVE10

O imagine detaliată a unui dragon în zbor

Metode de validare bazate pe fișiere HTTP/HTTPS

1. Demonstrație practică HTTP

Validarea bazată pe fișiere necesită să plasați un fișier specific pe serverul dvs. web la o cale desemnată. CA apoi accesează acest fișier prin HTTP sau HTTPS pentru a confirma că controlați serverul care găzduiește domeniul.

Cale standard este: http://yourdomain.com/.well-known/pki-validation/fileauth.txt

CA furnizează atât numele de fișier exact, cât și conținutul. Creați acest fișier pe serverul dvs., asigurați-vă că este accesibil, și CA validează prin preluarea acestuia.

Puncte critice de implementare:

  • Fișierul trebuie accesibil pe portul 80 (HTTP) sau portul 443 (HTTPS)
  • .directorul well-known este o locație standard definită în RFC 8615
  • Aceasta este necesară pentru validarea adreselor IP. Dacă obțineți un certificat pentru o adresă IPv4 sau IPv6, validarea HTTP este de obicei singura dvs. opțiune

Validarea bazată pe fișiere este simplă dacă aveți acces direct la serverul web. Este mai puțin ideală dacă utilizați servicii de găzduire cu acces restricționat la sistemul de fișiere sau CDN care ar putea stoca în cache sau interfera cu cererile de validare.

Sfaturi de rezolvare a problemelor:

  • Asigurați-vă că redirecționările nu interferează. CA trebuie să atingă URL-ul exact de validare
  • Verificați că pereții de protecție permit acces HTTP/HTTPS
  • Dezactivați cache-ul pentru directorul de validare
  • Verificați permisiunile fișierului pentru a permite acces public de citire

2. Integrarea ACME Challenge

Protocolul ACME (Automated Certificate Management Environment) utilizează provocări HTTP-01 și DNS-01 pentru DCV automatizat. Dacă utilizați Let’s Encrypt sau un alt CA compatibil ACME, clientul ACME gestionează întregul proces de validare automat.

Provocarea HTTP-01: Plasează un fișier de validare la /.well-known/acme-challenge/ (similar cu validarea HTTP standard)

Provocarea DNS-01: Creează o înregistrare TXT la _acme-challenge.yourdomain.com

Clientul dvs. (cum ar fi Certbot, acme.sh, sau instrumente integrate în platforme cum ar fi cPanel) gestionează validarea și reînnoirea certificatelor fără intervenție manuală. ACME a devenit standardul pentru gestionarea automată a certificatelor, în special pentru organizații care gestionează stocuri mari de certificate.


Scenarii speciale de validare

1. Validare certificat multi-domeniu și SAN

Dacă comandați un certificat multi-domeniu (numit și certificate SAN sau UCC), trebuie să validați fiecare domeniu separat. O singură verificare DCV nu acoperă toate domeniile din certificat.

Exemplu: Un certificat pentru example.com, www.example.com, și shop.example.com necesită trei validări separate, chiar dacă sunt domenii asociate.

Vestea bună? Puteți amesteca metodele de validare. Utilizați validare prin e-mail pentru un domeniu și validare DNS pentru altul dacă aceasta se potrivește cu infrastructura dvs. Platforma CA va urmări starea validării pentru fiecare domeniu și va emite certificatul numai după ce toate domeniile sunt verificate.

2. Validare domeniu wildcard

Certificatele wildcard (care acoperă *.example.com) necesită metode de validare bazate pe DNS. Cei mai mulți CAs nu acceptă validare prin e-mail sau HTTP pentru wildcard-uri din considerente de securitate.

De ce validare DNS pentru wildcard-uri?

Certificatele wildcard securizează subdomenii nelimitate. Validarea bazată pe fișiere ar putea dovedi doar controlul unui singur subdomeniu la o dată, și validarea prin e-mail nu demonstrează control asupra tuturor subdomeniilor posibile. Validarea DNS dovedește că controlați infrastructura DNS a întregului domeniu, ceea ce este potrivit pentru un certificat care protejează toate subdomeniile.

Dacă aveți nevoie de certificat wildcard, planificați utilizarea validării DNS TXT sau CNAME. Acestea sunt de obicei singurele dvs. opțiuni.

3. Considerații de validare a subdomeniului

Puteți valida la nivel de subdomeniu sau la nivel de domeniu părinte, în funcție de metoda de validare. Pentru validarea HTTP, fișierul trebuie accesibil la subdomeniul specific pe care îl validați. Pentru validarea DNS, creați înregistrări la nivelul subdomeniului corespunzător.

O distincție importantă: Validarea domeniului părinte (example.com) nu validează automat subdomeniile (blog.example.com) pentru cele mai multe metode de validare. Fiecare subdomeniu are nevoie de propria validare, cu excepția cazului în care utilizați certificat wildcard.


Alegerea metodei DCV potrivite pentru nevoile dumneavoastră

Potriviți metoda cu infrastructura dvs:

Comparați toate metodele DCV dintr-o privire

Metoda de validareTimp de completareCapacitate de automatizareAbilitate tehnicăSuport WildcardReutilizabilitate (OV/EV)Ideal pentru
E-mail (Generic)5-30 minute❌ Scăzut⭐ Minimal✅ Da❌ NuCertificate unice, implementări mici
E-mail (DNS TXT)15-60 minute❌ Scăzut⭐⭐ Scăzut-Moderat✅ Da✅ Da (397 zile)Echipe cu mai multe certificate, e-mail stabilit
Înregistrare DNS TXT10-60 minute✅ Înalt⭐⭐⭐ Moderat✅ Da✅ Da (397 zile)Automatizare, wildcard, implementări mari
DNS CNAME15-60 minute✅ Înalt⭐⭐⭐ Moderat✅ Da✅ Da (397 zile)Prevalidare domeniu, token-uri gestionate de CA
Fișier HTTP5-20 minute⚠️ Mediu⭐⭐ Scăzut-Moderat❌ Nu❌ NuAcces direct server, adrese IP
ACME (HTTP-01)2-10 minute✅ Foarte înalt⭐⭐⭐⭐ Moderat-Înalt❌ NuN/A (auto-renew)Automatizare completă, Let’s Encrypt
ACME (DNS-01)2-10 minute✅ Foarte înalt⭐⭐⭐⭐ Moderat-Înalt✅ DaN/A (auto-renew)Automatizare completă cu wildcard-uri

Selectarea metodei după scenariu

Utilizați validare prin e-mail dacă:

  • Aveți comenzi de certificat simple, unice
  • Adresele de e-mail admin generice sunt monitorizate
  • Nu aveți nevoie de automatizare

Utilizați validare DNS TXT/CNAME dacă:

  • Aveți nevoie de certificate wildcard
  • Gestionați mai multe certificate
  • Nu aveți acces la serverul web
  • Doriți capacități de automatizare

Utilizați validare fișier HTTP dacă:

  • Aveți acces direct la serverul web
  • Validați adrese IP
  • Modificările DNS sunt dificile în organizația dvs
Alegerea metodei DCV

Probleme comune cu DCV și remedii rapide

Eșecurile de validare se întâmplă. Iată cele mai frecvente erori pe care le veți întâlni și cum să le rezolvați rapid.

Validare fișier HTTP: „404 Not Found”

Eroare: „Sistemul a interogat un fișier temporar la http://example.com/.well-known/pki-validation/[filename].txt, dar serverul web a răspuns cu următoarea eroare: 404 (Not Found).”

Remedii rapide:

  • Creați manual structura directorului: /public_html/.well-known/pki-validation/
  • Setați permisiuni: directoare 755, fișiere 644
  • Verificați regulile .htaccess care ar putea bloca calea /.well-known/
  • Dacă domeniul a fost adus recent, așteptați 24-48 ore pentru propagare
  • Testați accesibilitatea: curl -v http://yourdomain.com/.well-known/pki-validation/test.txt

Cauza comună: Calea fișierului de validare nu există sau nu este accesibilă publicului.

Validare HTTP: „Forbids DCV HTTP Redirections”

Eroare: „cPanel (powered by Sectigo) forbids DCV HTTP redirections.”

Remedii rapide:

  • Dezactivați temporar redirecționările la HTTPS în timpul validării
  • Excludeți calea /.well-known/* din regulile de redirecționare
  • Verificați .htaccess, regulile pagini Cloudflare sau configurația serverului pentru redirecționări
  • Dacă utilizați CDN, dezactivați temporar sau adăugați excepție

Cauza comună: Site-ul dvs. redirecționează HTTP la HTTPS sau redirecționează la alt domeniu, blocând încercarea de validare a CA.

Validare DNS: „No TXT Record That Matches”

Eroare: „Interogarea DNS la ‘_dvsauth.example.com’ pentru provocarea DCV nu a returnat nicio înregistrare ‘TXT’ care se potrivește valorii ‘[expected-value]’.”

Remedii rapide:

  • Așteptați 1-24 ore pentru propagare DNS (depinde de TTL)
  • Verificați gaz exact și valoare: dig _dvsauth.example.com TXT +short
  • Verificați erori de copiere/lipire în token-ul de validare
  • Dacă utilizați DNS delegat (înregistrări NS), adăugați înregistrarea TXT la furnizorul corect
  • Reduceți TTL la 300 de secunde (5 minute) înainte de a adăuga înregistrări de validare

Cauza comună: DNS nu s-a propagat încă sau înregistrarea are greșeli de dactilografiere.

Validare DNS: Înregistrări CAA blocând emiterea

Eroare: „Certificate authority encountered a multiple perspective CAA check error.”

Remedii rapide:

  • Verificați înregistrări CAA existente: dig example.com CAA
  • Adăugați CA-ul dvs. la emiţători autorizați: example.com. CAA 0 issue „digicert.com”
  • Verificați rezolvarea înregistrărilor CAA la nivel global folosind instrumentul ping.pe
  • Dacă nu există înregistrări CAA, nu trebuie să adăugați nimic (absența permite toți CAs)

Cauza comună: Înregistrările CAA restricționează care CAs pot emite certificate pentru domeniul dvs.

Validare e-mail: E-mail nu a fost recepționat

Remedii rapide:

  • Verificați mai întâi dosarele de spam/junk
  • Verificați că aceste adrese există și primesc e-mail: admin@, administrator@, webmaster@, hostmaster@, postmaster@
  • Verificați înregistrări MX: dig example.com MX
  • Adăugați pe lista albă domeniile de trimitere e-mail ale CA în filtrul anti-spam
  • Solicitați retrimis e-mail din panoul de control al CA

Cauza comună: E-mailul de validare a fost capturat de filtrele spam sau adresele admin nu există.

Specifică platformă: Eșecuri cPanel AutoSSL

Eroare: „Local HTTP DCV error: An internal error occurred.”

Remedii rapide:

  • Verificați WHM > Manage AutoSSL logs pentru detalii
  • Așteptați 30 de minute și reîncercați (de obicei se rezolvă automat)
  • Comutați între furnizorii Sectigo și Let’s Encrypt
  • Ștergeți coada AutoSSL: WHM > Manage AutoSSL > Clear pending queue

Comenzi rapide de diagnostic

Înainte de a contacta suportul, executați aceste verificări:

# Verificați propagarea DNS
dig yourdomain.com +short
dig _dvsauth.yourdomain.com TXT +short

# Testați accesibilitatea fișierului HTTP
curl -v http://yourdomain.com/.well-known/pki-validation/test.txt

# Verificați înregistrări CAA și MX
dig yourdomain.com CAA
dig yourdomain.com MX

Simplificați gestionarea certificatelor SSL cu SSL Dragon

Obținerea corectă a validării controlului domeniului este crucială pentru o implementare liniștit a certificatelor. SSL Dragon oferă certificate de la Autorități de certificare de încredere cu toate metodele de validare de care aveți nevoie, indiferent dacă preferați verificare prin e-mail, DNS sau pe bază de HTTP.

Echipa noastră vă ajută să navigați cerințele DCV pentru certificate Domain Validated, Organization Validated și Extended Validation. Vă vom ajuta prin metoda de validare care se potrivește cu infrastructura dvs și vom răspunde la întrebări atunci când apar probleme de validare.

Încetați să vă luptați cu validarea certificatelor. Explorați opțiunile noastre de certificate SSL!

Economisește 10% la certificatele SSL în momentul plasării comenzii!

Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10

A detailed image of a dragon in flight

Autor cu experiență, specializat în certificate SSL. Transformă subiectele complexe despre securitatea cibernetică în conținut clar și captivant. Contribuie la îmbunătățirea securității digite prin narațiuni cu impact.