Как пройти проверку контроля домена (DCV)?

Проверка контроля домена (DCV) помогает предотвратить несанкционированный выпуск SSL-сертификатов. Без этого активация SSL невозможна. Это руководство охватывает процесс DCV и показывает Вам, как пройти его несколькими способами. Используйте метод DCV для получения SSL-сертификатов, наиболее подходящих для Ваших навыков и ситуации.


Оглавление

  1. Что такое проверка контроля домена (DCV)?
  2. Что такое методы DCV?
  3. Последний шаг: Проверьте рекорд CAA

Что такое проверка контроля домена (DCV)?

Проверка контроля домена – это одна из проверок, которую проводят центры сертификации, чтобы убедиться, что лицо, подающее заявку на получение SSL-сертификата, владеет доменом или имеет на него права администратора. Каждый заявитель должен пройти DCV перед получением SSL-сертификата от центра сертификации. Это не требует никакой бумажной волокиты, и процесс очень прост.


Что такое методы DCV?

Чтобы подтвердить, что у Вас есть администраторский доступ к домену, который Вы хотите зашифровать, центры сертификации предоставляют три метода DCV. Мы рассмотрим их в мельчайших подробностях.

1. Проверка электронной почты

Самый популярный и простой способ проверки SSL-сертификата – это электронная почта. УЦ отправит Вам одобрительное письмо на адрес электронной почты WHOIS или домена с кодом проверки. Откройте ссылку в письме и вставьте код проверки, чтобы пройти DCV. Весь процесс автоматизирован, и получение сертификата Domain Validation займет менее 5 минут.

Только конкретные доменные или Ваши контактные адреса электронной почты из WOIS могут быть использованы для метода электронной почты DCV. Проблема с электронной почтой WHOIS заключается в том, что она обычно скрыта по соображениям конфиденциальности, и ЦС не могут ее увидеть. Если Вы не знаете свой адрес электронной почты WHOIS, проверьте панель управления доменом или обратитесь к регистратору домена.

В качестве альтернативы используйте одну из следующих предварительно одобренных электронных писем, основанных на домене:

Пожалуйста, замените @yoursite.com на Ваше доменное имя.

Не получили письмо с подтверждением? Вот что нужно сделать:

  1. Проверьте папку со спамом и нежелательной информацией. Фильтры электронной почты могут ошибочно пометить письмо ЦС как спам.
  2. Дважды проверьте свой адрес электронной почты. Убедитесь, что адрес является приемлемым и в нем нет опечаток.
  3. Повторно отправьте свое письмо.
  4. Если ничего не помогает, обратитесь за поддержкой к своему провайдеру SSL.

Я выбрал несуществующий адрес электронной почты…

Если Вы выбрали несуществующий адрес электронной почты, не паникуйте. Неопытные администраторы могут ввести адрес электронной почты, основанный на домене, который еще не был создан. Решение простое:

  1. Зайдите в панель управления хостингом и создайте адрес электронной почты на основе домена, который Вы указали для проверки.
  2. Повторно отправьте письмо с одобрением.

Важно! Начиная с 16 июня 2021 года, компания Sectigo больше не принимает адреса электронной почты, основанные на WHOIS, для проверки контроля домена (DCV).


2. Проверка DNS

Проверка DNS – это более технический метод. Для этого необходимо создать запись CNAME (тип DNS-записи, которая сопоставляет псевдоним с каноническим именем домена) в настройках DNS Вашего домена.

Проще говоря, DNS, что означает “система доменных имен”, – это как телефонная книга для Интернета, связывающая веб-браузеры с веб-сайтами. Он переводит человекочитаемые доменные имена, такие как yoursite.com в машиночитаемые IP-адреса, такие как 89.145.93.29 например.

Если Вы выберете метод DNS, Вы получите уникальные значения валидационных записей для Вашего конкретного заказа. Вы можете найти эту запись в своем аккаунте поставщика SSL.

Во время проверки SSL-сертификата Ваш центр сертификации проверяет, является ли организация, запрашивающая SSL-сертификат, законным владельцем домена. Один из методов, который ЦС может использовать для проверки владения доменом, – это проверка наличия записи DNS TXT с определенным значением. ЦС предоставит Вам уникальное значение, которое нужно добавить в TXT-запись DNS, а затем ЦС проверит, содержит ли запись это значение. Проверяя TXT-запись DNS, ЦС может быть уверен, что домен принадлежит Вам.

После активации SSL-сертификата Вы должны добавить предварительно заданные значения записи домена у Вашего регистратора доменов (сайт, на котором Вы зарегистрировали свое доменное имя). Убедитесь, что Ваш брандмауэр не блокирует робота-верификатора ЦС.

  1. Войдите в учетную запись регистратора домена и перейдите к настройкам DNS Вашего домена.
  2. Создайте запись CNAME, используя значение записи домена из учетной записи Вашего поставщика.
  3. Установите минимально возможное TTL (Time to Live) для записи, чтобы избежать длительных задержек при распространении записи или при ее неправильном создании.

Проверьте Вашу запись CNAME

Sectigo и GoGetSSL требуют DNS-типа CNAME, который выглядит следующим образом:

_b2013ea8353c9760c0221c49dc3e8ca7.yourwebsite.com CNAME

165b83449f4fdf83021de4e6f6ee795a.4ae75dbefe3r7bb8a1878616d8b5ae4.5r4r46855d28f6903.comodoca.com.

DigiCert, Thawte, GeoTrust и RapidSSL требуют тип DNS TXT, который выглядит следующим образом:

yourwebsite.com TXT “w34f54t4t45t354eer98rn4jf4449nfrf”

или

dnsauth.yourwebsite.com TXT “w34f54t4t45t354eer98rn4jf4449nfrf”.

Вот инструмент, который проверяет Вашу запись CAME и тот же инструмент для типа TXT . Используйте его, чтобы убедиться, что Вы правильно настроили запись..


Я настроил запись CNAME, что дальше?

Новые добавленные записи DNS распространяются по всему миру в течение 72 часов, хотя обычно это занимает несколько часов. По этой причине Вы можете подождать до трех дней, чтобы завершить процесс активации. Как правило, два других варианта больше подходят, если Вы заказываете сертификат Domain Validation и хотите получить его всего за несколько минут.


Проверка HTTP/HTTPS

Важно! Этот метод больше не доступен при проверке SSL-сертификатов Wildcard.

Этот метод требует, чтобы Вы загрузили файл проверки TXT в каталог Вашего домена. Убедитесь, что Вы можете подключиться к своему хостинг-аккаунту через приборную панель или FTP, и что Ваш ЦС может получить доступ к нему через любой веб-браузер.

ЦС просканирует Ваш сайт и найдет этот файл по указанной ссылке. Как только краулер центра сертификации обнаружит TXT-файл на Вашем сайте, Ваш SSL-сертификат пройдет проверку домена.

Метод проверки HTTPS такой же, как описано выше. Вам следует выбрать опцию HTTPS, если у Вас уже есть SSL-сертификат на Вашем сайте.


Где я могу получить файл проверки?

Вы найдете файл проверки в учетной записи продавца после того, как выберете вариант с файлами. Файл проверки – это файл формата .txt, названный цифрами и буквами (пример: B4DS4C5H73UFGJDHJ.txt).

После того, как Вы скачали файл проверки, необходимо загрузить его на Ваш хостинг-сервер/панель. Вам следует загрузить файл в “.well-known” и подпапку “pki-validation” корневой директории документа для доменного имени.

В результате файл проверки должен быть доступен по пути, запрашиваемому для проверки: http://yoursite.com/.well-known/pki-validation/B4DS4C5H73UFGJDHJ.txt.


3. Валидация бренда

В некоторых редких случаях ЦС может потребовать ручной проверки домена, также известной как проверка бренда. На прохождение этой ручной проверки уходит до 48 часов, и в таких случаях CA либо выдает, либо отклоняет ордер. Вот наиболее распространенные причины, по которым Ваш заказ не проходит валидацию Brand:

  • Доменное имя занесено в черный список или имеет сомнительную репутацию.
  • Доменное имя содержит такие стоп-слова, как online, secure, payment, bank и многие другие, которые автоматически заставляют систему проверки отклонить их; следовательно, требуется ручная проверка.
  • Доменное имя может содержать скрытое название бренда. Например, Ваш домен – “sibmama.com”, но автоматическая система проверки может считать его “sIBMama” и отметить бренд “IBM” для ручной проверки.
  • Ваш заказ отправлен из страны с ограниченным доступом.

Последний шаг: Проверьте рекорд CAA

Начиная с 8 сентября 2017 года, все центры сертификации (ЦС) должны придерживаться Вашей политики CAA в качестве меры безопасности.

Запись CAA должна разрешить ЦС выпустить SSL для Вашего доменного имени; в противном случае заказ будет установлен как Pending, пока Вы не обновите запись.

По умолчанию, если запись CAA не существует, любой ЦС может выпустить SSL для Вашего доменного имени. В противном случае Вам следует обновить свою запись CAA.


Заключение

В заключение хочу сказать, что проверка контроля домена необходима для обеспечения безопасности веб-коммуникаций, защиты пользователей от потенциальных рисков и предотвращения несанкционированного выпуска сертификатов. Благодаря наличию различных методов проверки, DCV является относительно быстрым и простым. Это необходимый шаг для любого владельца сайта, желающего получить SSL-сертификат, подтвержденный контролем домена, и обеспечить безопасное присутствие в Интернете.

Часто задаваемые вопросы

Сколько времени занимает валидация DCV?

Время, необходимое для завершения процесса проверки DCV, может варьироваться в зависимости от выбранного метода проверки и оперативности владельца домена. Однако по сравнению с Business Validation, которая занимает 1-2 дня, в большинстве случаев пользователи проходят DCV всего за несколько минут.

Копировать ссылку

Что произойдет, если DCV выйдет из строя?

Если DCV не работает, сертификат SSL не может быть выпущен, и владелец домена должен предпринять корректирующие действия, чтобы решить эту проблему. Они должны перепроверить адрес электронной почты или DNS-запись для авторизации, убедиться, что файл находится в правильном месте, и что сайт доступен.

Копировать ссылку

Какой самый простой метод DCV?

Самым простым методом DCV обычно является проверка по электронной почте. Метод электронной почты прост и не требует никаких технических знаний или изменений на сайте или в конфигурации DNS. Однако другие методы DCV также просты, если Вы обладаете базовыми знаниями о DNS и управлении хостингом.

Копировать ссылку

Сэкономьте 10% на SSL-сертификатах при заказе сегодня!

Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10

Написано

Опытный автор контента, специализирующийся на SSL-сертификатах. Превращает сложные темы кибербезопасности в понятный, увлекательный контент. Вносите свой вклад в повышение уровня цифровой безопасности с помощью впечатляющих рассказов.