Was bedeutet Domainvalidierung?
Domainvalidierung ist die einfachste Form der Prüfung ob ein Zertifikat zu Recht angefordert wird. Die Zertifizierungsstelle schickt in diesem Fall eine Email an eine vorgegebene Emailadresse. Es gibt auch alternative Validierungsmöglichkeiten, die je nach CA variieren können. Da jedoch der Inhaber keiner genaueren Prüfung unterzogen wird, bietet dieses Zertifikat für Kunden keine Möglichkeit sich der Identität des Webseitenbetreibers zu vergewissern.
Validierung des SSL Zertifikats via Email
Standardmäßig verschicken die CA Emails an vorgegebene Adressen Dabei handelt es sich um durch RFC vorgegebene Adressen, bzw. um einige, auf die sich das CA/Browser Forum geeinigt hat.
- hostmaster@
- postmaster@
- webmaster@
- admin@
- administrator@
Möglich ist auch der Versand an in den Whoisdaten der jeweiligen Domain hinterlegte Adressen. Da je nach zuständigem NIC die automatisierte Abfrage zum Teil unmöglich oder auch untersagt ist, funktioniert dieser Weg nicht zuverlässig.
Validierung des SSL Zertifikats per DNS Eintrag
Es besteht bei manchen Zertifikatsherausgebern die Möglichkeit einen CNAME Eintrag abfragen zu lassen, der nach Vorgabe der CA gestaltet werden muss.
Wenn dieser Eintrag erfolgreich abgefragt werden kann, wird das Zertifikat ausgestellt.
Unterstützt wird dieser Mechanismus unter anderem von Comodo, Globalsign und AlphaSSL.
Validierung des SSL Zertifikats per Datei
Es besteht bei manchen Zertifizierungsstellen die Möglichkeit, eine Datei auf dem jeweiligen Webserver zu hinterlegen, der den Domainnamen im Zertifikat bedient. Die Datei und ihr Inhalt müssen nach Vorgabe des Herausgebers des SSL Zertifikats erzeugt werden. Möglich ist dieser Mechanismus bei Comodo, GlobalSign und AlphaSSL.
