La convalida del certificato DV con un record DNS
Le autorità di certificazione della nostra gamma permettono l'autenticazione dell'ordine del certificato DV con diverse modalità, ivi compresa la convalida con un record DNS. Questa funzione è indicata per tutti gli ordini che non possono essere autenticati tramite una mail di autenticazione dell'autorità.
Procedura standard di convalida del certificato DV
La modalità standard di convalida del certificato DV consiste nell'invio di una mail con un link univoco al dominio da convalidare. A tal fine sono disponibili cinque caselle email del dominio in questione e l'indirizzo elettronico del titolare del dominio o del suo amministratore. Sul dominio da convalidare del richiedente del certificato deve essere attiva una delle seguenti caselle: admin, administrator, hostmaster, postmaster oppure webmaster. Finora, l'unica alternativa consisteva nell'inoltrare la mail dell'autorità all'indirizzo elettronico del contatto amministrativo del dominio o del suo titolare (contatti basati su WHOIS).
Modalità alternative di convalida del dominio
Le autorità di certificazione della nostra gamma sono in grafo di convalidare l'ordine del certificato DV non soltanto tramite la posta elettronica, ma anche con un record DNS univoco.
Puoi selezionare la modalità di autenticazione del certificato tramite un record DNS nel passaggio cinque dell'ordine del certificato (Autenticazione del certificato e la chiave pubblica (CSR)).
Una volta richiesto il certificato presso l'autorità, nei dettagli dell'ordine vedrai i dati che userai per l'autenticazione del certificato tramite DNS.
Creazione del record DNS di tipo TXT
Per la convalida DNS del dominio è necessario creare un record DNS di tipo TXT nel file di zona del dominio da convalidare. Troverai questa opzione nell'amministrazione del dominio nel tuo registratore dove puoi impostare i record DNS. Troverai i dati necessari per creare il record TXT nei dettagli dell'ordine del certificato che sono univoci per ogni ordine. Dovrai quindi inserire nel DNS i record già pronti che ti forniremo. In sostanza, si tratta di impostare il testo univoco nel record TXT in riferimento al sottodominio _dnsauth.
Esempio di record DNS per la verifica DNS del dominio:
_dnsauth.sslmarket.it. 3600 IN TXT pyzm2vngxyfgwbh5d04n7j9nl4zrp51v
Successivamente, l'autorità controllerà periodicamente il record TXT nel DNS del dominio. Se il record TXT risulterà conforme, l'autorità confermerà automaticamente l'ordine del certificato e emetterà automaticamente il certificato. Non dovrai più attendere una mail di conferma.
Controllo del record DNS
Per controllare l'accessibilità e la correttezza del nuovo DNS creato puoi utilizzare diversi strumenti capaci di visualizzare la risposta alla richiesta DNS. Il sistema operativo Unix include il programma DIG che è in grado di inviare al record DNS la richiesta e visualizzarne la risposta. Tale programma non è incluso nel sistema Windows, perciò ti consigliamo di usare la versione Web del DIG.
Inserisci nella colonna a sinistra "Hostnames or IP addresses" il sottodominio che hai creato; ovvero _dnsauth.dominiodaconvalidare.it. Cliccando sul tasto DIG vedrai la risposta alla richiesta DNS che deve contenere la stringa casuale visualizzata nell'ordine. Il sottodominio _dnsauth. deve rinviare al sottodominio costituito dalla stringa casuale.
Esempio di risposta corretta acquisita tramite il programma DIG:
dig TXT +additional _dnsauth.sslmarket.cz. @8.8.4.4
; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.6 <<>>TXT +additional _dnsauth.sslmarket.it. @8.8.4.4
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 13209
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;_dnsauth.sslmarket.it. IN TXT
;; ANSWER SECTION:
_dnsauth.sslmarket.it. 3056 IN TXT "pyzm2vngxyfgwbh5d04n7j9nl4zrp51v"
;; AUTHORITY SECTION:
testwebu.com. 1256 IN SOA ns1.regzone.cz. administrator.czechia.cz. 2013071303 10800 1800 1814400 3600
;; Query time: 13 msec
;; SERVER: 8.8.4.4#53(8.8.4.4)
;; WHEN: Wed Aug 14 12:08:01 2013
;; MSG SIZE rcvd: 165
L'autenticazione DNS è semplice e veloce
La verifica DNS di un certificato non causerà alcun ritardo nell'emissione del certificato. L'autorità che effettua l'ispezione a intervalli molto brevi e di conseguenza teme che sia stata rilasciata dal certificato è in ritardo. Con la verifica DNS, non è necessario attendere l'espansione dei record DNS , operazione che in genere richiede fino a 48 ore.
Ci dispiace che non ci hai trovato il necessario.
Ci aiuterai a migliorare l'articolo? Facci sapere cosa qui aspettavi e non hai scoperto.