Ověření DV certifikátu DNS záznamem

Certifikační autority rodiny Symantec umožňují ověřit objednávku DV certifikátu více způsoby, včetně ověření přes DNS záznam. Funkce je vhodná pro všechny objednávky, které není možné ověřit přes ověřovací e-mail autority.

Standardní ověření DV certifikátu

Standardním způsobem ověření DV certifikátu je zaslání e-mailu s unikátním odkazem na ověřovanou doménu. K dispozici je pět schránek na dané doméně a e-mail vlastníka domény, či administračního kontaktu. Žadatel o certifikát musí mít na ověřované doméně aktivní jednu ze schránek admin, administrator, hostmaster, postmaster či webmaster. Jedinou alternativou bylo dosud přeposlání e-mailu autority na e-mail administračního kontaktu domény, nebo jejího vlastníka (kontakty z WHOIS).

Alternativní způsob ověření domény

Certifikační autority v naší nabídce umí ověřit objednávku DV certifikátu nejen přes e-mail, ale též přes unikátní DNS záznam.

Možnost ověření certifikátu přes DNS záznam vyberete v pátém kroku objednávky certifikátu (Ověření certifikátu a veřejný klíč (CSR)).

Alternativní možnost ověření DV certifikátu

Po zažádání certifikátu u autority uvidíte v detailu objednávky údaje, které použijete pro ověření certifikátu přes DNS.

Vytvoření DNS záznamu CNAME

Pro DNS ověření domény je nutné vytvořit DNS záznam typu CNAME v zónovém souboru ověřované domény. Tuto možnost naleznete v administraci domény vašeho registrátora, kde můžete nastavovat DNS záznamy.
Údaje pro vytvoření záznamu CNAME budou uvedeny v detailu objednávky certifikátu a jsou pro každou objednávku unikátní. Do DNS vložíte již připravené záznamy, které vám zobrazíme. Příklad DNS záznamu pro DNS ověření domény:

s13u5rom85v8m2ok0lg41wlm0holmfqr.sslmarket.cz. 3600 IN CNAME s20130805135212.sslmarket.cz. DNS záznam, který nastavíte u domény, je složen ze dvou částí:

  • - Unikátní 32znakový řetězec, který se vloží jako CNAME záznam (alias, směřující subdoménu na hlavní doménu)
  • - Timestamp ve tvaru yyyymmddhhmmss, který se vloží do pole Cíl a za něj přijde název ověřované domény

Autorita bude následně v pravidelných intervalech kontrolovat CNAME záznam v DNS domény. Pokud bude CNAME záznam v pořádku, automaticky objednávku certifikátu potvrdí a automaticky vystaví. Nebude již třeba čekat na potvrzující e-mail.

Kontrola DNS záznamu

Dostupnost a správnost nově vytvořeného DNS záznamu můžete zkontrolovat různými nástroji, které umí zobrazit odpověď na DNS dotaz. Součástí UNIXových operačních systému je program DIG, který umí poslat dotaz na DNS záznam a zobrazit odpověď. Součástí systému Windows tento program není, proto doporučujeme použít webovou verzi DIGu.

Do levého sloupce "Hostnames or IP addresses" napište subdoménu, kterou jste vytvořili; tedy unikatniretezec.overovanadomena.cz. Po kliknutí na tlačítko DIG uvidíte odpověď na DNS dotaz, která musí obsahovat scasoverazitko.overovanadomena.cz.
Subdoména tvořená unikátním řetězcem musí ukazovat na subdoménu tvořenou timestampem.

Příklad správné odpovědi získané programem Dig:
dig +additional s13u5rom85v8m2ok0lg41wlm0holmfqr.sslmarket.cz. @8.8.4.4
; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.6 <<>> +additional s13u5rom85v8m2ok0lg41wlm0holmfqr.sslmarket.cz. @8.8.4.4
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 13209
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;s13u5rom85v8m2ok0lg41wlm0holmfqr.sslmarket.cz. IN A

;; ANSWER SECTION: s13u5rom85v8m2ok0lg41wlm0holmfqr.sslmarket.cz. 3056 IN CNAME s20130805135212.sslmarket.cz.

;; AUTHORITY SECTION:
testwebu.com. 1256 IN SOA ns1.regzone.cz. administrator.czechia.cz. 2013071303 10800 1800 1814400 3600
;; Query time: 13 msec
;; SERVER: 8.8.4.4#53(8.8.4.4)
;; WHEN: Wed Aug 14 12:08:01 2013
;; MSG SIZE rcvd: 165

Ověření přes DNS je rychlé a jednoduché

Ověření certifikátu přes DNS nezpůsobí žádné prodlevy při vystavení certifikátu. Autorita provádí kontrolu ve velice krátkých intervalech a nemusíte se tedy obávat, že by bylo vystavení certifikátu zdrženo. Při DNS ověření není třeba čekat na rozšíření DNS záznamů, které obvykle trvá až 48 hodin.

SSLmarket maximálním možným způsobem zjednodušil uvedené ověření tak, abyste se nemuseli zdržovat při tvorbě DNS záznamu či tvoření souboru pro ověření.

Máte potíže s alternativním ověřením domény?

V případě potřeby neváhejte kontaktovat naši zákaznickou podporu, která vám pomůže s výše uvedeným ověřením domény.