Comodo ændrer domæne valideringen

29 juni 2017

CA/Browser forumet har udgivet nye regler for domæne validering, hvilket vil påvirke måden domænekontrol gennemføres før udstedelse af certifikater. Comodo annoncerede implementeringen af disse regler på kort sigt - de vil blive indført senest den 20. juli 2017. Justeringerne vil primært påvirke de alternative valideringsmetoder CNAME og filvalidering. Disse justerede CA/B retningslinjer vil blive implementeret af alle CA'er.

Hvad er Domain Control Validation (DCV)?

DCV er en metode til at verificere ejerskab af et domæne, før et certifikat kan udstedes, Comodo har 3 mekanismer til DCV:

  • E-mail - til en administrativ kontakt.
  • HTTP(S)- leder efter en tekstfil med specifikt indhold på et bestemt sted.
  • DNS CNAME - eder efter en CNAME-post med en bestemt placering.

Disse tre metoder vil stadig være tilgængelige efter den 20. juli, men nogle af de tekniske detaljer, som f.eks. filens placering og indhold eller formularen for DNS-posten ændres.

Hvad vil ændre sig?

  • E-mail validering forbliver den samme, men vil kun være gyldig i op til 30 dage.
  • For HTTP (S) validering vil der være mange ændringer i filindhold og filplacering. I stedet for at se på roden til FQDN'en, vil en specifik sti blive brugt, og den nuværende SHA-1 hashværdi erstattes af en SHA-256 hashværdi.
  • Ifølge de nye regler skal hashværdien være unik, så den kan kun bruges én gang. Når man genbruger den samme CSR, er det nødvendigt at tilføje en ekstra værdi for at skabe en unik hashværdi.

Hvad betyder det for mig?

  • Indtil 20. juli kan både den gamle (SHA-1 og MD5) og den nye metode (SHA-2 og MD5) anvendes, efter den 20. juli er kun den nye metode tilladt.
  • Når du bestiller igennem vores hjemmeside via kontrolpanelet, får du nye værdier til at udføre DCVen.
  • Når du bruger API'en, eller hvis du har automatiseret HTTP(S) eller DNS-delen af ​​processen, skal du muligvis foretage nogle ændringer, hvis du beregner hashværdierne selv. For ordrer placeret via vores API, vil de rigtige data blive givet tilbage baseret på den valgte DCV-metode.
  • Når en unik CSR bruges til en certifikatfornyelse eller genudgivelse, er det tilstrækkeligt at bruge SHA-2 / MD5-hasen.
  • I nogle tilfælde kan det være smart at genbruge den samme CSR til en fornyelse eller genudstedelse. I dette tilfælde er der ikke behov for at revalidere de nuværende domæner, når der udstedes et certifikat. For disse anmodninger skal du oprette en unik hashværdi ved at tilføje en 'unik værdi'. Xolphin producerer disse værdier, du kan også sende dem gennem REST API.

Tjek detaljerne i Comodo Domain Control Validation. Har du spørgsmål, kontakt os venligst!

SSLCheck

SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.