Antworten auf Ihre häufigsten Fragen

Welche Möglichkeiten zur Validierung meines SSL-Zertifikats stehen mir zu Verfügung?
pdf print

Wenn Sie ein SSL-Zertifikat bestellen, wird vom Aussteller geprüft, dass die Bestellung von einem berechtigten Domainverantwortlichen gewünscht wird. Die Domaininhaberschaft kann auf verschiedene Weisen nachgewiesen werden. Welche Validierungs-Möglichkeiten für SSL-Zertifikate zur Verfügung stehen und wie der Ausstellungsprozess abläuft, erklärt dieser Artikel.

Allgemeines:

Eine Überprüfung (Validierung) der SSL-Zertifikats-Bestellung ist zwingend notwendig, da Sie damit nachweisen, der rechtmäßige Eigentümer der zu zertifizierenden Domain zu sein. So wird verhindert, dass unberechtigte Dritte ein gültiges Zertifikat für eine Domain erhalten.

 

Für alle Zertifikate wird über ein automatisiertes Verfahren geprüft, ob der Domainverantwortliche der Ausstellung zustimmt. Bei organisations-geprüften Zertifikaten wird im Anschluss daran zusätzlich die Identität (Name, Firmierung) durch manuelle Prüfungen durch den Aussteller verifiziert.

Wie funktioniert die automatisierte Validierung?:

Hierzu bieten wir Ihnen mehrere Validierungs-Möglichkeiten an, von denen Sie allerdings nur EINE durchlaufen müssen. Eine Auswahl bei der Bestellung erfolgt nicht, Sie können jederzeit frei wählen, welchen Weg Sie nutzen möchten:

  • Ein Link in einer E-Mail an eine feste Liste von Adressen wird aufgerufen.
  • Es wird ein übermittelter Text (Code) auf der Webseite hinterlegt (HTML-Seite).
  • Es wird ein DNS-Record (TXT) für die Domain erzeugt, der einen übermittelter Text (Code) enthält.

Erklärung der Validierungs-Möglichkeiten im Einzelnen:

E-Mail:

Bei der Bestellung werden Mails an eine feste Liste von Empfängern geschickt:

  • admin@ihredomain.tld
  • administrator@ihredomain.tld
  • hostmaster@ihredomain.tld
  • postmaster@ihredomain.tld
  • webmaster@ihredomain.tld

Zusätzlich (nur wenn möglich, je nach Domain) erhält der Domaininhaber (aus den Whois-Daten) diese Mail. Dort ist ein Link enthalten, der Sie auf eine Webseite des Ausstellers führt. Dort bestätigen Sie einfach, dass Sie der Ausstellung zustimmen.

Bitte stellen Sie vor Abschluss Ihrer SSL-Bestellung sicher, dass mindestens eine dieser E-Mail-Adressen existiert und Sie auf diese zugreifen können. Ein erneuter Versand dieser Mails kann leider derzeit nicht durch uns oder Sie veranlasst werden. Sollten die Adressen nicht bei Bestellung verfügbar gewesen sein, können Sie entweder die Bestellung stornieren und neu einreichen oder eines der anderen Verfahren durchführen.

Diese Mailadressen nutzen immer die Hauptdomain, selbst wenn Sie für eine Subdomain bestellt haben sollten. 

Absender dieser Mails ist "Sicherheitszertifikatdienste donotreply@starfieldtech.com".
Der Betreff lautet "SSL-Antrag: Prüfung der Domaininhaberschaft (Link-Validierung)".

Bitte prüfen Sie ggf. auch Ihren Spamordner, falls Sie glauben, die Mail erhalten haben zu müssen, dies aber nicht passiert zu sein scheint.

HTML-Seite:

Die bei der Bestellung im KIS angegebene Empfängeradresse erhält per Mail einen Code zugesendet, der für die Prüfung verwendet werden muss.

Absender dieser Mails ist "Sicherheitszertifikatdienste donotreply@starfieldtech.com".
Der Betreff lautet "SSL-Antrag: Prüfung der Domaininhaberschaft (HTML- oder DNS-Validierung)".


Darin enthalten ist folgende Textzeile:

Ihre eindeutige ID für diese Methoden lautet <ID>
Sobald Sie die entsprechende E-Mail mit der eindeutigen Kennung erhalten haben, gehen Sie bitte wie folgt vor:
  • Erstellen Sie im Stammverzeichnis Ihrer Domain die folgenden Verzeichnisse:
    • ./.well-known
    • ./.well-known/pki-validation
  • Erstellen Sie nun die folgende Datei
    • Verzeichnis: ./.well-known/pki-validation/
    • Dateiname: starfield.html
    • Inhalt: <Ihre eindeutige ID aus der zuvor eingegangenen E-Mail>
  • Stellen Sie nun sicher, dass die zuvor angelegte Datei über Ihren bevorzugten Webbrowser aufrufbar ist. Die URL hierzu wäre beispielweise wie folgt:
      "http://ihredomain.tld/.well-known/pki-validation/starfield.html"

      Hinweis: Bei der Beauftragung eines SSL-Zertifikats für eine Subdomain, erstellen Sie die genannte Datei bitte auch unter der Subdomain.
  • Diese Adresse muss DIREKT (also ohne Weiterleitung/301) erreichbar sein. Häufig werden Weiterleitungen der Domain auf die gleiche Adresse mit "www." genutzt, was nicht funktioniert. Bitte sorgen Sie daher für die direkte Aufrufbarkeit oder nutzen Sie eine der anderen Methoden.

Der Aussteller ruft diese Adresse in unregelmäßigen Abständen automatisch ab und bestätigt die Prüfung, sobald dies funktioniert hat. Sie können die Prüfung auch selbst im KIS anstoßen (Schaltfläche "Validierung anstoßen") und dort direkt eine Meldung über deren Erfolg einsehen.

 

Bitte beachten Sie, dass die HTML-Validierung nicht für Wildcard-Zertifikate möglich ist. Dort nutzen Sie bitte DNS.

DNS-Record:

Den für die HTML-Seite beschriebenen Code können Sie auch nutzen, um die Domain per DNS zu verifizieren. Dafür:

  • Erstellen Sie für Ihre Domain den TXT-Record wie folgt:
    • Domainname: ihredomain.tld (Hinweis: Bei der Beauftragung eines SSL-Zertifikats für eine Subdomain, erstellen Sie dennoch den genannten DNS-Record für die Hauptdomain.)
    • TXT-Eintrag-/Wert: <Wert aus der zuvor eingegangenen E-Mail>

Der Aussteller ruft diese Adresse in unregelmäßigen Abständen automatisch ab und bestätigt die Prüfung, sobald dies funktioniert hat. Sie können die Prüfung auch selbst im KIS anstoßen (Schaltfläche "Validierung anstoßen") und dort direkt eine Meldung über deren Erfolg einsehen.

Sobald eine dieser Prüfungen abgeschlossen wurde, kommt es in Ausnahmefällen noch zu Prüfungen durch den Aussteller, normalerweise ist aber der Vorgang dann abgeschlossen und das Zertifikat wird in wenigen Minuten ausgestellt.

Wie funktioniert die manuelle Validierung bei organisations-geprüften Zertifikaten?:

Bei organisations-geprüften Zertifikaten (Organisation SSL, Organisation SSL-Wildcard und Extended SSL) erfolgt nach Abschluss der o.a. Schritte die weitere Prüfung durch den Aussteller. Dazu werden ggf. Unterlagen angefordert und in jedem Fall ein abschließendes Telefongespräch durchgeführt. Derzeit sind Mails und telefonische Kontakte nur in englischer Sprache möglich!

Absender dieser Mails ist "donotreply@secureserver.net". Telefonanrufe werden von einer US-Telefonnummer (+1-) erfolgen.

Bitte beachten Sie, dass die Prüfungen recht aufwändig sind und längere Zeit in Anspruch nehmen können. Bei Organisation SSL gehen wird derzeit von 2-3 Wochen, bei Extended SSL von 3-4 Wochen im Durchschnitt aus.

Leider gibt es derzeit noch keine Möglichkeit, den Ausstellsstatus online einzusehen, so dass Sie im Problemfall eine Supportanfrage an uns richten müssten.


otto.friedrich@hosteurope.de xanthippe.ypsilante@hosteurope.de hercules.ikarus@hosteurope.de