Walidacja

Jakie są typy walidacji i co oznaczają?

  • Certyfikaty grupy DV (Domain Validation) są przyznawane najszybciej, ponieważ weryfikacja danych potrzebnych do wydania SSL odbywa się elektronicznie. Dane organizacji nie są weryfikowane i wyświetlane w szczegółach certyfikatu.
  • Grupa OV (Organization Validation) to certyfikaty, które wyświetlają sprawdzone dane podmiotu, dla którego certyfikat został wystawiony.
  • Certyfikaty EV (Extended Validation) to specjalny typ certyfikatów o rozszerzonej walidacji. Strony www z domenami zabezpieczonymi certyfikatami EV pokazują pełną weryfikację podmiotu. W ten sposób osoby odwiedzające daną stronę wiedzą, że dokonywanie transakcji na danej stronie jest bezpieczne, ponieważ jej działalność została sprawdzona na wielu szczeblach.

Która walidacja jest dla mnie?

Przed wyborem poziomu walidacji dobrze jest określić, jakie profity (poza szyfrowaniem danych) certyfikat ma dawać stronie.

W przypadku stron, które mają wyłącznie szyfrować dane i jest to zabezpieczenie stosowane głównie w interesie samego właściciela domeny (przesyłanie jego dokumentów etc. na serwer) wystarczy wybór walidacji domeny (DV).

Jednak w sytuacji, gdy witryna (poza szyfrowaniem danych) ma wyraźnie informować: do której firmy należy, jaka organizacja odpowiada za jej poziom ochrony, a jednocześnie ma potwierdzać autentyczność istnienia firmy – wówczas należy wybrać co najmniej poziom walidacji OV.

Dla największych serwisów, które działają w oparciu o przesyłanie najbardziej newralgicznych informacji – jak służba zdrowia, instytucje finansowe, rządowe itp. – zalecane jest korzystanie z walidacji EV. Trwa ona dłużej, ale jest najbardziej szczegółowa. Po tym typie weryfikacji, strona internetowa otrzymuje certyfikat ze specjalnym oznaczeniem nazwy właściciela. Moment przełączenia otwartego połączenia na szyfrowane (http:// na https://) jest więc widoczny dla odwiedzającego – co zwiększa zaufanie do strony i przyczynia się do zwiększenia interakcji.

W jaki sposób przebiega weryfikacja przed wydaniem certyfikatu SSL?

Procedury weryfikacji przed wydaniem certyfikatu SSL różnią się w zależności od poziomu walidacji certyfikatu (DV, OV i EV).

Do każdego zamówienia niezbędne jest przysłanie pliku CSR, który zawiera zaszyfrowane informacje dotyczące zamawiającego. 

DV

Dla tego poziomu walidacji przeprowadzana jest weryfikacja domeny.

Weryfikacja za pomocą adresu e-mail

  • metoda dostępna dla wszystkich wystawców:

Na jeden z administracyjnych adresów e-mail w domenie, dla której jest realizowany certyfikat, zostanie wysłana wiadomość z linkiem i kodem sprawdzającym. Kliknięcie linku i wpisanie kodu potwierdzi zarządzanie domeną i certyfikat zostanie wystawiony. Dostępne nazwy adresów to admin@ administrator@, hostmaster@, postmaster@ i webmaster@.

Wymienione adresy są narzucone przez wystawcę i nie można ich zmienić. W przypadku niektórych domen, udostępniających adres e-mail w bazie WHOIS, istnieje możliwość wybrania tego właśnie adresu. Znajduje się on wówczas na liście do wyboru. Nie można wpisać dowolnego adresu e-mail.

Weryfikacja za pomocą rekordu DNS TXT

  • Dla certyfikatów DIGICERT / GEOTRUST / RAPID / THAWTE:

Należy pobrać wygenerowany token i podać go w strefie DNS certyfikowanej domeny jako rekord TXT. Rekord dodajemy zawsze dla domeny bazowej i wybieramy jak najkrótszy TTL. Token jest ważny 30 dni, po tym czasie jest resetowany i należy skontaktować się z obsługą w celu ponownego wydania.

W zależności od dostawcy usług hostingowych, ciąg znaków stanowiących token wpisujemy zawsze w polu „wartość” lub jego odpowiedniku, pole „adres” / „host” / „rekord” pozostawiamy puste.

  • Dla certyfikatów CERTUM, cyber_SSL:

W przypadku certyfikatu Certum, rekord DNS TXT zostaje wysłany na adres e-mail podany w CSR. Przesłana wiadomość e-mail zawiera dokładną instrukcję sposobu realizacji, token oraz link weryfikacyjny. Po dodaniu do strefy DNS domeny rekordu TXT należy chwilę odczekać i kliknąć w link z maila. Następnie kliknąć przycisk „weryfikuj”, a po chwili „odśwież”. Jeżeli wszystko jest poprawne pojawi się informacja o pozytywnej weryfikacji. Otrzymana wiadomość e-mail jest ważna 7 dni.

Weryfikacja za pomocą pliku (file)

* Nie dotyczy certyfikatów typu Wildcard

  • Dla certyfikatów DIGICERT / GEOTRUST / RAPID / THAWTE:

Stwórz plik fileauth.txt, w którego treści będzie znajdował się pobrany token. Należy umieścić wartość podanego pliku zgodnie z otrzymaną ścieżką tak, aby była widoczna w Internecie. Pobierz plik fileauth.txt i umieść go w lokalizacji:
[http(s)://TwojaDomena.com]/.well-known/pki-validation/fileauth.txt]

  • Dla certyfikatów CERTUM, cyber_SSL:

W przypadku certyfikatu Certum dane dotyczące metody plik są wysyłane na adres email podany w CSR. Przesłany mail zawiera dokładną instrukcję sposobu realizacji, token oraz link weryfikacyjny. Po dodaniu pliku pod wskazanym w mailu adresem:
twojanazwadomeny.TLD/.well-known/pki-validation/certum.txt
w którego treści musi być zawarty kod aktywacyjny otrzyany w mailu. Przykładowo:
e2dd8ae07f0b7005545b8b6252320f0c60a96a620332a0fa7a77f267a063eb0-certum.pl
należy kliknąć w link z maila. Następnie kliknąć przycisk „weryfikuj” a po chwili „odśwież”. Jeżeli wszystko jest ok to pojawi się informacja o pozytywnej weryfikacji. Otrzymany e-mail jest ważny 7 dni.

  • Dla certyfikatów SECTIGO /SUPERFAST SSL/DOMENY SSL:

Mamy do wyboru dwa protokoły HTTP/HTTPS, wybieramy jeden z nich i tworzymy plik o określonej nazwie np. 880E9D1268FE4185F2CB17B7FE29A74F.txt (należy skopiować z panelu) oraz umieszczamy go pod podaną ścieżką, np.
http://twojanazwadomeny.tld/.well-known/pki-validation/880E9D1268FE4185F2CB17B7FE29A74F.txt
lub
https://twojanazwadomeny.tld/.well-known/pki-validation/880E9D1268FE4185F2CB17B7FE29A74F.txt
Pod adresem musi wyświetlać się PEŁNA treść pliku, bez dodatkowych białych znaków, np.
2A911C4BB2FE93527A565E79A1AA0E0AA158B04C63B9FDCBBAB0358F7367F1C1
sectigo.com
a9dsd12gou5hzdj8f09b

Weryfikacja za pomocą DNS CNAME

  • Dla certyfikatów SECTIGO 

Przesłany plik CSR zostanie zakodowany, a zakodowane informacje zostaną dostarczone zamawiającemu w celu umieszczenia ich w rekordach DNS CNAME.

Wygląda to następująco: 

<MD5 hash of CSR>.TwojaDomena.pl.  CNAME  <SHA1 hash of CSR>.TwojeCA.com. 

Uwaga: Kropki po każdej końcówce domeny są konieczne.

Weryfikacja za pomocą HTTP

* Nie dotyczy certyfikatów Wildcard.

Po odesłaniu zakodowanego CSR zamawiającemu, musi on utworzyć zwykły plik tekstowy, umieścić go w katalogu głównym na pliki strony dla posiadanej domeny.

Nazwa pliku:
http://TwojaDomena.com/.txt (Plik musi zawierać nazwę z dużych liter). Treść: <SHA1 hash of CSR>
TwojeCA.com
Uwaga: Udostępnienie pliku za pomocą protokołu HTTPS lub HTTP przekierowanego (jako 302) na HTTPS spowoduje błąd. Plik należy opublikować korzystając tylko z HTTP.

OV

Dane podmiotu zawarte w CSR muszą być zgodne z danymi rejestrowymi oraz danymi w oficjalnych bazach. Weryfikacja podmiotu może składać się z kilku etapów i jest uzależniona od wystawcy certyfikatu oraz podmiotu, który ubiega się o wydanie certyfikatu.

  1. Weryfikacji domeny – jak w przypadku certyfikatów DV – poprzez sprawdzenie abonenta domeny oraz wysyłkę kodu do weryfikacji.
  2. Weryfikacja danych w bazach rządowych.
  3. W niektórych przypadkach weryfikacja poprzez zewnętrzny podmiot wraz z pisemnym potwierdzeniem istnienia podmiotu ubiegającego się o wydanie certyfikatu SSL lub papierowy wniosek wraz z dokumentami podmiotu ubiegającego się o wydanie certyfikatu.
  4. Weryfikacja w książkach telefonicznych popularnych w danym kraju wraz z telefonicznym potwierdzeniem danych.

EV

Weryfikacja certyfikatów EV przebiega podobnie jak OV, ale dodatkowo wymagane jest wysłanie umowy lub jej potwierdzenie online wraz z wnioskiem o wydanie certyfikatu SSL.

Dlaczego przed wydaniem SSL potrzebny jest wgląd w dokumenty firmy?

Certyfikat SSL potwierdza autentyczność istnienia firmy i jej tożsamość. Aby udostępnić szyfrowanie danych na stronie, wystawca musi mieć pewność, że współpracuje z legalnie działającą firmą, która ma prawo do posługiwania się daną domeną internetową. Jest to możliwe po weryfikacji dokumentów.

>
Daniel Drożdż
Marketer z wykształcenia i pasji. Certyfikowany specjalista Google Ads. Fan Automatyzacji Marketingu. Związany z rynkiem hostingowym od 2016 r. Prywatnie zrobił ponad 1000 km górskimi szlakami.