Ověření domény (DV, Domain Validation) je základní a nejnižší stupeň ověření, který předchází samotnému vystavení SSL certifikátu. Cílem je ověřit, zda má žadatel nad doménou plnou kontrolu, a tudíž zda je oprávněn o SSL certifikát pro takovou doménu žádat.
SSL certifikáty s ověřením domény slouží pouze k šifrování komunikace, ale neslouží k ověření totožnosti, protože neobsahují informace o žadateli. Uživatel zabezpečeného webu si tak nemůže ověřit, kdo jej skutečně provozuje.
Ověření domény může probíhat vždy trochu jinak v závislosti na interních předpisech konkrétní certifikační autority. Ve většině případech je na jednu z e-mailových adres určených certifikační autoritou zaslán autorizační e-mail s autorizačním odkazem nebo s autorizačním kódem, který je třeba vložit do formuláře přímo na stránkách certifikační autority. Jakmile je taková autorizace úspěšně provedena, certifikační autorita zpravidla během několika málo minut SSL certifikát vystaví.
Jak ověření provést
Nejjednodušším a nejčastějším způsobem ověření domény (prokázání kontroly nad doménou) je metoda ověření e-mailem — prakticky stačí kliknout na odkaz v e-mailu, popřípadě vložit do formuláře autorizační kód a potvrdit.
E-mailové adresy pro autorizaci žádosti o SSL certifikát s ověřením domény jsou generické a jsou předem určeny certifikační autoritou. Pokud ani k jedné z e-mailových schránek nemáte přístup nebo vůbec neexistuje, je potřeba některou z nich nejprve zřídit, popř. alespoň aktivovat alias s přesměrováním na jinou adresu.
Žadatel si během aktivace SSL certifikátu může vybrat pouze z následujících e-mailových schránek:
admin@example.com
administrator@example.com
hostmaster@example.com
postmaster@example.com
webmaster@example.com
Na jinou adresu autorizační e-mail zaslat nelze.
Pokud autorizační e-mail neobdržíte do 30 minut od provedení aktivace SSL certifikátu, ujistěte se, že e-mail nespadl do složky s nevyžádanou poštou nebo do koše.
Důrazně doporučujeme ještě před aktivací SSL certifikátu dočasně vypnout všechny anti-spamové filtry (filtry nevyžádané pošty).
Používáte-li přesměrování (přeposílání) e-mailů do freemailové schránky typu @seznam.cz, @centrum.cz, @volny.cz atd., pak je vzhledem ke konfiguraci SPF pravděpodobné, že autorizační e-mail doručen nebude.
Ověření domény souborem přes HTTP (metodou FILE) lze provést u SSL/TLS certifikátů značek:
Pokud z nějakého důvodu není možné autorizovat žádost o SSL certifikát pomocí e-mailu, můžete kontrolu nad doménou autorizovat umístěním souboru na server (například přes klasický FTP nebo SSH přístup). Přesný postup, název autorizačního souboru a jeho obsah zjistíte po aktivaci SSL certifikátu.
Wildcard SSL nelze ověřit souborem
Od 15.10.2021 není možné provést ověření souborem pro wildcard certifikáty a pro domény v polích SAN ve wildcard formátu.
Domény ve wildcard formátu můžete i nadále ověřit e-mailem nebo přes DNS.
Subdomény v FQDN formátu lze i nadále ověřit souborem, ale nikoliv na mateřské doméně.
Konkrétní název souboru i jeho obsah bude zobrazen ihned po aktivaci SSL certifikátu a rovněž je najdete v detailu SSL certifikátu v sekci Moje certifikáty.
Příklady
AlpiroSSL
Pro zabezpečení domény ve tvaru s www. i bez www. je nutné ověřit obě tyto domény samostatně.
každých 20 hodin do expirace kódu (platnost kódu je 14 dnů)
Certum
U SSL certifikátů Certum se ověření souborem provádí vždy pro doménu II. řádu. Viz ukázka níže, (sub)doménu mail.ssls.cz je třeba ověřit souborem umístěným na doméně ssls.cz.
U SSL certifikátů GlobalSign se ověření souborem provádí vždy pro doménu II. řádu. Viz ukázka níže, (sub)doménu mail.ssls.cz je třeba ověřit souborem umístěným na doméně ssls.cz.
Ověření domény můžete provést i vytvořením příslušného DNS záznamu dané domény. Typ DNS záznamu se u jednotlivých certifikačních autorit může lišit — zpravidla jsou to TXT (Certum, DigiCert) a CNAME (AlpiroSSL, Sectigo, PositiveSSL) záznamy. Příslušné záznamy zobrazíte zpravidla ihned po aktivaci SSL certifikátu nebo je můžete najít v detailu SSL certifikátu v sekci Můj účet » SSL certifikáty.
U SSL certifikátů se ověření metodou DNS provádí pro každou doménu (včetně domén III., IV. a nižších řádů) samostatně. Viz ukázka níže, (sub)doménu mail.ssls.cz ověříte následujícími záznamy.
Platnost kódu je u všech certifikačních autorit 14 dnů.
Nevýhodou metody ověření SSL certifikátů metodou DNS je, že může trvat i několik dnů v závislosti na aktualizaci či restartu příslušných DNS serverů v síti internet. Doporučujeme proto s dostatečným předstihem nastavit u domény hodnotu TTL na 3600.
Přihlášení
