OpenProvider
openprovider-logo

Wijzigingen in Comodo domeinvalidatie

0 min read
7/10/2017

Op 20 juli 2017 zal Comodo de domeinvalidatieprocessen (DCV) voor SSL-certificaten op details wijzigen. Dit betreft met name validatie via HTTP(S) en DNS. Zoals je weet biedt Comodo op dit moment drie manieren om domeinvalidatie uit te voeren:

  • E-mail: er wordt een e-mail naar een van de whoiscontacten of naar een standaard @domein-contact gestuurd.
  • HTTP(S): Comodo controleert of een tekstbestand met specifieke naam en inhoud bestaat op http(s)://fully.qualified.name/filename.txt
  • DNS CNAME: Comodo controleert of er een CNAME-record bestaat met het formaat
    randomvalue.fully.qualified.name CNAME randomvalue2.comodoca.com.
Je kan ook na 20 juli nog steeds voor deze drie methodes kiezen, alleen veranderen in sommige gevallen technische details zoals de locatie en inhoud van het bestand of DNS-record.

E-mail

Het e-mailvalidatieproces blijft zo goed als ongewijzigd. De enige significante wijziging is dat DCV-emails nog maar 30 dagen geldig zijn. Lukt het niet om binnen deze 30 dagen te valideren, dan is een nieuwe e-mail noodzakelijk. Er zijn geen API-wijzigingen benodigd.

HTTP(S)

De bestandsnaam blijft ongewijzigd: de MD5-hashwaarde van de CSR in hoofdletters. De inhoud van het bestand en de locatie waar het bestand staat worden echter veranderd:

  • Inhoud: in plaats van een SHA1-hash van de CSR op de eerste regel dien je een SHA-256-hash te gebruiken
  • Locatie: het bestand (dat nu nog in de root staat) verplaatst naar de vaste subdirectory /.well-known/pki-validation, zodat het volledige pad bijvoorbeeld wordt:
    http(s)://fully.qualified.name/.well-known/pki-validation/.txt
Comodo controleert het bestand nog steeds vanaf hetzelfde IP-adres en user-agent als waarvandaan ze het nu controleren. Als je hierop controleert, dan hoef je niets te veranderen.

DNS CNAME

Het record zal nog steeds een CNAME-record zijn. Wat er wel verandert:

  • Naam: je dient een underscore (_)  voor de MD5-hash van de CSR te zetten
  • Waarde: je dient de SHA-256-hash van de CSV op te splitsen in twee strings van 32 tekens en deze achter elkaar te plakken met een punt ertussen. Een nieuw DCV CNAME-record kan er dus als volgt uit zien:
    _c7fbc2039e400c8ef74129ec7db1842c.fully.qualified.name CNAME c9c863405fe7675a3988b97664ea6baf.442019e4e52fa335f406f7c5f26cf14f.comodoca.com.

Subscribe to our newsletter

What are you waiting for?

Create an account today - it’s fast and free

Get Started

Loading...