Więcej

Walidacja

  • W jaki sposób przebiega weryfikacja przed wydaniem certyfikatu SSL?

    Procedury weryfikacji przed wydaniem certyfikatu SSL różnią się w zależności od poziomu walidacji certyfikatu (DV, OV i EV).

    Do każdego zamówienia niezbędne jest przysłanie pliku CSR, który zawiera zaszyfrowane informacje dotyczące zamawiającego. 

     

    DV

    Dla tego poziomu walidacji przeprowadzana jest weryfikacja domeny.

    Weryfikacja za pomocą adresu e-mail

    • metoda dostępna dla wszystkich wystawców

    Po uzupełnieniu danych w Asystencie SSL, na jeden z administracyjnych adresów e-mail w domenie, dla której jest realizowany certyfikat, zostanie wysłana wiadomość z linkiem i kodem sprawdzającym. Kliknięcie linku i wpisanie kodu potwierdzi zarządzanie domeną i certyfikat zostanie wystawiony. Dostępne nazwy adresów to admin@ administartor@, hostmaster@, postmaster@ i webmaster@.

    Wymienione adresy są narzucone przez wystawcę i nie można ich zmienić. W przypadku niektórych domen, udostępniających adres e-mail w bazie WHOIS, istnieje możliwość wybrania tego właśnie adresu. Znajduje się on wówczas na liście do wyboru. Nie można wpisać dowolnego adresu e-mail.
     
    Dla niektórych certyfikatów dostępne są również alternatywne metody walidacji, o których informujemy w Asystencie SSL.

    Weryfikacja za pomocą rekordu DNS TXT

    • Dla certyfikatów DIGICERT / GEOTRUST / RAPID / THAWTE
    Należy pobrać wygenerowany token i podać go w strefie DNS certyfikowanej domeny jako rekord TXT. Rekord dodajemy zawsze dla domeny bazowej i wybieramy jak najkrótszy TTL. Token jest ważny 30 dni, po tym czasie jest resetowany i należy skontaktować się z obsługą w celu ponownego wydania.
    W zależności od dostawcy usług hostingowych, ciąg znaków stanowiących token wpisujemy zawsze w polu „wartość” lub jego odpowiedniku, pole „adres” / „host” / „rekord” pozostawiamy puste.
     
    • Dla certyfikatów CERTUM
    W przypadku certyfikatu Certum, rekord DNS TXT zostaje wysłany na adres e-mail podany w CSR. Przesłana wiadomość e-mail zawiera dokładną instrukcję sposobu realizacji, token oraz link weryfikacyjny. Po dodaniu do strefy DNS domeny rekordu TXT należy chwilę odczekać i kliknąć w link z maila. Następnie kliknąć przycisk „weryfikuj”, a po chwili „odśwież”. Jeżeli wszystko jest poprawne pojawi się informacja o pozytywnej weryfikacji. Otrzymana wiadomość e-mail jest ważna 7 dni.

    Weryfikacja za pomocą pliku (file)

    • Dla certyfikatów DIGICERT / GEOTRUST / RAPID / THAWTE:

    Stwórz plik fileauth.txt, w którego treści będzie znajdował się pobrany token. Należy umieścić wartość podanego pliku zgodnie z otrzymaną ścieżką tak, aby była widoczna w Internecie. Pobierz plik fileauth.txt i umieść go w lokalizacji:
    [http(s)://TwojaDomena.com]/.well-known/pki-validation/fileauth.txt]

    • Dla certyfikatów CERTUM:

    W przypadku certyfikatu Certum dane dotyczące metody plik są wysyłane na adres email podany w CSR. Przesłany mail zawiera dokładną instrukcję sposobu realizacji, token oraz link weryfikacyjny. Po dodaniu pliku pod wskazanym w mailu adresem:
    twojanazwadomeny.TLD/.well-known/pki-validation/certum.txt
    w którego treści musi być zawarty kod aktywacyjny otrzyany w mailu. Przykładowo:
    e2dd8ae07f0b7005545b8b6252320f0c60a96a620332a0fa7a77f267a063eb0-certum.pl
    należy kliknąć w link z maila. Następnie kliknąć przycisk „weryfikuj” a po chwili „odśwież”. Jeżeli wszystko jest ok to pojawi się informacja o pozytywnej weryfikacji. Otrzymany e-mail jest ważny 7 dni.

    • Dla certyfikatów SECTIGO /SUPERFAST SSL/DOMENY SSL:

    Mamy do wyboru dwa protokoły HTTP/HTTPS, wybieramy jeden z nich i tworzymy plik o określonej nazwie np. 880E9D1268FE4185F2CB17B7FE29A74F.txt (należy skopiować z panelu) oraz umieszczamy go pod podaną ścieżką, np.
    http://twojanazwadomeny.tld/.well-known/pki-validation/880E9D1268FE4185F2CB17B7FE29A74F.txt
    lub
    https://twojanazwadomeny.tld/.well-known/pki-validation/880E9D1268FE4185F2CB17B7FE29A74F.txt
    Pod adresem musi wyświetlać się PEŁNA treść pliku, bez dodatkowych białych znaków, np.
    2A911C4BB2FE93527A565E79A1AA0E0AA158B04C63B9FDCBBAB0358F7367F1C1
    sectigo.com
    a9dsd12gou5hzdj8f09b

    OV

    Dane podmiotu zawarte w CSR muszą być zgodne z danymi w oficjalnych bazach. Weryfikacja podmiotu może składać się z kilku etapów i jest uzależniona od wystawcy certyfikatu oraz podmiotu, który ubiega się o wydanie certyfikatu.

    1. Weryfikacji domeny - jak w przypadku certyfikatów DV - poprzez sprawdzenie abonenta domeny oraz wysyłkę kodu do weryfikacji.

    2. Weryfikacja danych w bazach rządowych.

    3. W niektorych przypadkach weryfikacja poprzez zewnętrzny podmiot wraz z pisemnym potwierdzeniem istnienia podmiotu ubiegającego się o wydanie certyfikatu SSL lub papierowy wniosek wraz z dokumentami podmiotu ubiegajacego się o wydanie certyfikatu.

    4. Weryfikacja w książkach telefonicznych popularnych w danym kraju wraz z telefonicznym potwierdzeniem danych.

     

    EV

    Weryfikacja certtyfikatów EV przebiega podobnie jak OV, ale dodatkowo wymagane jest wysłanie umowy wraz z wnioskiem o wydanie certyfikatu SSL.

  • Jakie są typy walidacji i co oznaczają?

    Certyfikaty grupy DV (Domain Validation) są przyznawane najszybciej, ponieważ weryfikacja danych potrzebnych do wydania SSL odbywa się elektronicznie. Dane organizacji nie są weryfikowane i wyświetlane.

    Grupa OV (Organization Validation) to certyfikaty, które wyświetlają sprawdzone dane podmiotu dla którego certyfikat został wystawiony.

    Certyfikaty EV (Extended Validation) to specjalny typ certyfikatów o rozszerzonej walidacji. Strony www z domenami zabezpieczonymi certyfikatami EV pokazują pełną weryfikację podmiotu poprzez zmianę koloru paska adresu (na zielony). W ten sposób osoby odwiedzające daną stronę wiedzą, że dokonywanie transakcji na danej stronie jest bezpieczne, ponieważ jej działalność została sprawdzona na wielu szczeblach.

  • Która walidacja jest dla mnie?

    Przed wyborem poziomu walidacji dobrze jest określić, jakie profity (poza szyfrowaniem danych) certyfikat ma dawać stronie.

    W przypadku stron, które mają wyłącznie szyfrować dane i jest to zabezpieczenie stosowane głównie w interesie samego właściciela domeny (przesyłanie jego dokumentów etc. na serwer) wystarczy wybór walidacji domeny (DV).


    Jednak w sytuacji, gdy witryna (poza szyfrowaniem danych) ma wyraźnie informować: do której firmy należy, jaka organizacja odpowiada za jej poziom ochrony, a jednocześnie ma potwierdzać autentyczność istnienia firmy – wówczas należy wybrać co najmniej poziom walidacji OV.


    Dla największych serwisów, które działają w oparciu o przesyłanie najbardziej newralgicznych informacji – jak służba zdrowia, instytucje finansowe, rządowe itp. – zalecane jest korzystanie z walidacji EV. Trwa ona dłużej, ale jest najbardziej szczegółowa. Po tym typie weryfikacji, strona internetowa otrzymuje certyfikat ze specjalnym oznaczeniem nazwy właściciela. Dodatkowo, pasek adresu wyświetla się na zielono. Moment przełączenia otwartego połączenia na szyfrowane (http:// na https://) jest więc widoczny dla odwiedzającego - co zwiększa zaufanie do strony i przyczynia się do zwiększenia interakcji.

  • Dlaczego przed wydaniem SSL potrzebny jest wgląd w dokumenty firmy?

    Certyfikat SSL potwierdza autentyczność istnienia firmy i jej tożsamość. Aby udostępnić szyfrowanie danych na stronie, wystawca musi mieć pewność, że współpracuje z legalnie działającą firmą, która ma prawo do posługiwania się daną domeną internetową. Jest to możliwe po weryfikacji dokumentów.

  • Metody walidacji prawa do domeny

    Sprawdzenie prawa własności domeny jest podstawą do wydania wszystkich standardowych certyfikatów SSL (DV, OV i EV).

    Sposoby walidacji:
     

    1. E-mail

    • metoda dostępna dla wszystkich wystawców
    Na jeden z administracyjnych adresów e-mail w domenie, dla której jest realizowany certyfikat, zostanie wysłana wiadomość z linkiem i kodem sprawdzającym. Kliknięcie linku i wpisanie kodu potwierdzi zarządzanie domeną i certyfikat zostanie wystawiony. Dostępne nazwy adresów to admin@ administartor@, hostmaster@, postmaster@ i webmaster@.
    Wymienione adresy są narzucone przez wystawcę i nie można ich zmienić. W przypadku niektórych domen, udostępniających adres e-mail w bazie WHOIS, istnieje możliwość wybrania tego właśnie adresu. Znajduje się on wówczas na liście do wyboru. Nie można wpisać dowolnego adresu e-mail.
     

    2. DNS TXT

    • DIGICERT / GEOTRUST / RAPID / THAWTE
    Należy pobrać wygenerowany token i podać go w strefie DNS certyfikowanej domeny jako rekord TXT. Rekord dodajemy zawsze dla domeny bazowej i wybieramy jak najkrótszy TTL. Token jest ważny 30 dni, po tym czasie jest resetowany i należy skontaktować się z obsługą w celu ponownego wydania.
    W zależności od dostawcy usług hostingowych, ciąg znaków stanowiących token wpisujemy zawsze w polu „wartość” lub jego odpowiedniku, pole „adres” / „host” / „rekord” pozostawiamy puste.
     
    • CERTUM
    W przypadku certyfikatu Certum, rekord DNS TXT zostaje wysłany na adres e-mail podany w CSR. Przesłana wiadomość e-mail zawiera dokładną instrukcję sposobu realizacji, token oraz link weryfikacyjny. Po dodaniu do strefy DNS domeny rekordu TXT należy chwilę odczekać i kliknąć w link z maila. Następnie kliknąć przycisk „weryfikuj”, a po chwili „odśwież”. Jeżeli wszystko jest poprawne pojawi się informacja o pozytywnej weryfikacji. Otrzymana wiadomość e-mail jest ważna 7 dni.

    4. FILE

    • DIGICERT / GEOTRUST / RAPID / THAWTE:

    Stwórz plik fileauth.txt, w którego treści będzie znajdował się pobrany token. Należy umieścić wartość podanego pliku zgodnie z otrzymaną ścieżką tak, aby była widoczna w Internecie. Pobierz plik fileauth.txt i umieść go w lokalizacji:
    [http(s)://TwojaDomena.com]/.well-known/pki-validation/fileauth.txt]

    • CERTUM:

    W przypadku certyfikatu Certum dane dotyczące metody plik są wysyłane na adres email podany w CSR. Przesłany mail zawiera dokładną instrukcję sposobu realizacji, token oraz link weryfikacyjny. Po dodaniu pliku pod wskazanym w mailu adresem:
    twojanazwadomeny.TLD/.well-known/pki-validation/certum.txt
    w którego treści musi być zawarty kod aktywacyjny otrzymany w mailu. Przykładowo:
    e2dd8ae07f0b7005545b8b6252320f0c60a96a620332a0fa7a77f267a063eb0-certum.pl
    należy kliknąć w link z maila. Następnie kliknąć przycisk „weryfikuj” a po chwili „odśwież”. Jeżeli wszystko jest ok to pojawi się informacja o pozytywnej weryfikacji. Otrzymany e-mail jest ważny 7 dni.

    • SECTIGO / SUPERFAST SSL / DOMENY SSL

    Mamy do wyboru dwa protokoły HTTP/HTTPS, wybieramy jeden z nich i tworzymy plik o określonej nazwie np. 880E9D1268FE4185F2CB17B7FE29A74F.txt (należy skopiować z panelu) oraz umieszczamy go pod podaną ścieżką, np.
    http://twojanazwadomeny.tld/.well-known/pki-validation/880E9D1268FE4185F2CB17B7FE29A74F.txt
    lub
    https://twojanazwadomeny.tld/.well-known/pki-validation/880E9D1268FE4185F2CB17B7FE29A74F.txt
    Pod adresem musi wyświetlać się PEŁNA treść pliku, bez dodatkowych białych znaków, np.
    2A911C4BB2FE93527A565E79A1AA0E0AA158B04C63B9FDCBBAB0358F7367F1C1
    sectigo.com
    a9dsd12gou5hzdj8f09b

    4. DNS CNAME

    Przesłany plik CSR zostanie zakodowany, a zakodowane informacje zostaną dostarczone zamawiającemu w celu umieszczenia ich w rekordach DNS CNAME.

    Wygląda to następująco: <MD5 hash of CSR>.TwojaDomena.pl.  CNAME  <SHA1 hash of CSR>.TwojeCA.com. Uwaga: Kropki po każdej końcówce domeny są konieczne.
     

    5. HTTP

    Po odesłaniu zakodowanego CSR zamawiającemu, musi on utworzyć zwykły plik tekstowy, umieścić go w katalogu głównym na pliki strony dla posiadanej domeny.

    Nazwa pliku:
    http://TwojaDomena.com/.txt (Plik musi zawierać nazwę z dużych liter). Treść: <SHA1 hash of CSR>
    TwojeCA.com

    Uwaga: Udostępnienie pliku za pomocą protokołu HTTPS lub HTTP przekierowanego (jako 302) na HTTPS spowoduje błąd. Plik należy opublikować korzystając tylko z HTTP