Comodo ändert die Domänenvalidierung

29 Juni 2017

Das CA/Browser-Forum hat neue Regeln für die Domain-Validierung spezifiziert, die die Art und Weise beeinflussen, wie die Domain-Kontrolle vor dem Ausstellen von Zertifikaten überprüft wird. Comodo hat die Umsetzung dieser Regeln kurzfristig angekündigt - sie werden bis zum 20. Juli 2017 umgesetzt. Die Anpassungen wirken sich hauptsächlich auf die Alternativen Validatierungsmethoden CNAME und Datei aus. Diese angepassten CA/B-Richtlinien werden von allen CA's implementiert.

Was ist die Domain Control Validation (DCV)?

DCV ist eine Methode, um das Eigentum an einer Domain zu verifizieren, bevor ein Zertifikat ausgegeben werden kann. Comodo hat 3 Mechanismen für DCV:

  • E-mail - zu einem administrativen Kontakt.
  • HTTP(S)- Suche nach einer Textdatei mit bestimmten Inhalten an einem bestimmten Ort.
  • DNS CNAME - Suche nach einem CNAME Datensatz mit einem bestimmten Ort.

Diese drei Methoden sind nach dem 20. Juli noch verfügbar, jedoch werden einige der technischen Details wie Standort und Inhalt der Datei oder die Form des DNS-Datensatzes geändert.

Was wird sich ändern?

  • Die E-Mail-Validierung bleibt gleich, wird aber auf 30 Tage begrenzt.
  • Für die HTTP(S) Validierung gibt es viele Änderungen an der Datei Inhalt und Datei Ort. Anstatt die Wurzel des FQDN zu betrachten, wird ein bestimmter Pfad verwendet und der aktuelle SHA-1 Hashwert wird durch einen SHA-256 Hashwert ersetzt.
  • Nach den neuen Regeln muss der Hash-Wert eindeutig sein, also kann er nur einmal verwendet werden. Bei der Wiederverwendung des gleichen CSRs ist das Hinzufügen eines zusätzlichen Wertes notwendig, um einen eindeutigen Hash-Wert zu erstellen.

Was bedeutet das für Sie?

  • Bis zum 20. Juli können sowohl die alte (SHA-1 und MD5) als auch die neue Methode (SHA-2 und MD5) verwendet werden, nach dem 20. Juli ist nur die neue Methode erlaubt.
  • Wenn Sie über die Systemsteuerung über unsere Website bestellen, erhalten Sie neue Details zur Durchführung des DCV.
  • Wenn Sie die API verwenden oder wenn Sie den HTTP (S) oder DNS Teil des Prozesses automatisiert haben, müssen Sie möglicherweise einige Änderungen vornehmen, wenn Sie die Hashwerte selbst berechnen. Für Aufträge, die über unsere API platziert werden, werden die richtigen Daten auf der Grundlage der ausgewählten DCV-Methode ausgegeben..
  • Wenn eine eindeutige CSR für eine Zertifikatserneuerung oder -wiederausgabe verwendet wird, genügt die Verwendung des SHA-2 / MD5-Hashs.
  • In manchen Fällen kann es Sinn machen, das gleiche CSR für eine Erneuerung oder Wiederausgabe zu verwenden. In diesem Fall besteht keine Notwendigkeit, die aktuellen Domains bei der Neuausgabe eines Zertifikats neu zu validieren. Für diese Anfragen müssen Sie einen einzigartigen Hash-Wert erstellen, indem Sie einen 'einzigartigen Wert' hinzufügen. Xolphin produziert diese Werte, sie können sie auch über die REST API übergeben.

Überprüfen Sie die Details in der Comodo Domain Control Validation. Wenn Sie Fragen haben, kontaktieren Sie uns bitte!

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.