WhoIs ist für die Verifizierung der Zertifikate Vergangenheit, welche Alternativen gibt es?

23.08.2018 | Petra Alm

Die Zertifizierungsstellen haben von den möglichen Verifizierungsmethoden die manuelle, von der WhoIs-Datenbank ausgehende Überprüfung ausgeschlossen. Dieses Informationssystem ist für die Ausstellung der Zertifikate seit dem Inkrafttreten von DSGVO nutzlos geworden, denn die E-Mailadressen nicht mehr öffentlich einsehbar sind. Deshalb möchten wir Sie mit anderen Verifizierungsarten bekanntmachen, die sogar auch mehr empfehlenswert sind.

Die Domains in einem Zertifikat können manuell nicht mehr verifiziert werden

Die Ausstellung der Zertifikate wird in dem Dokument Baseline requirements geregelt, welches wir in unserem Magazin schon mehrmals zitiert haben. Schon vor einigen Jahren wurde entschieden, dass die manuelle Authentifizierung der in dem Zertifikat bestellten Domains nur bis den 1.8.2018 zulässig wird, mit einem Einblick in WhoIs. Eine weitere Möglichkeit bestand in dem sog. „legal opinion letter“, also in einer Urkunde, welche von einem Rechtsanwalt oder Notar signiert worden ist. Diese beiden Möglichkeiten wurden jedoch aufgehoben. Bereits in dem Jahre 2016 war auch die Möglichkeit „einer anderen Verifizierungsart“ abgeschafft – dank dieser konnten sich die Zertifizierungsstellen in den einzelnen Verifizierungsschritten freier entscheiden.

Die Gründe für diese Änderungen bestehen in dem Streben nach einer höheren Sicherheit der Verifizierung, aber auch darin, dass die Inhaber-Informationen in WhoIs in dem ursprünglichen, erwünschten Umfang nicht mehr zu finden sind.

Was ist mit den Kontaktangaben in WhoIs passiert?

Lesern unseres Blogs ist das Thema der europäischen Verordnung DSGVO bestimmt bekannt und ihr Inkrafttreten in Mai nicht entgangen. In diesem Zusammenhang wurden alle zugänglichen Informationen (oft auch personenbezogene Angaben), die den Nutzern verschiedener Dienste angehörten, reduziert (nach dem Teil Rechte der betroffenen Personen). Bei den eingetragenen Domains hat sich diese Änderung vor allem in der Anonymisierung oder Verdeckung der personenbezogenen Angaben samt der E-Mailadresse des Domaininhabers ausgewirkt.

Von einem Tag auf den anderen haben wir somit die Möglichkeit, die Zertifikate per die E-Mail des Domaininhabers zu verifizieren, verloren. Einige Domainverwalter haben bei den einzelnen Domains alle privaten Angaben der Kontaktpersonen verdeckt. Damit die E-Mailadresse einsehbar wäre, müsste sie nun somit manuell veröffentlicht werden. Bei anderen TLD-Verwaltern wurden die Angaben anonymisiert und können für die Verifizierung nicht mehr genutzt werden. Bei einigen TLDs wie bei der Domain EU war es sogar nie möglich, die E-Mail des Domaininhabers automatisch abzurufen, weil sie mit dem Captcha-Test geschützt worden ist.

Aus diesen Gründen können für die E-Mail-Verifizierung der Domain nur fünf Postfächer auf der zu validierenden Domain genutzt werden. Auf diese sendet die Zertifizierungsstelle die Bestätigungsmail automatisch ab und setzt voraus, dass eine von ihnen existieren könnte.>

Es handelt sich um die gut bekannten Mailboxen:

Die Zusendung der E-Mails auf die nur angenommenen und oft nicht existierenden E-Mailadressen ist natürlich nicht effizient. Deshalb möchten wir Ihnen schnellere und einfachere Möglichkeiten empfehlen, die sog. alternativen Verifizierungsmethoden.

Alternative Methoden der Verifizierung

Aus den oben aufgeführten Argumenten geht hervor, dass die Nutzung von WhoIs für die Verifizierung der Zertifikate nicht geeignet ist. Die Verifizierung per E-Mail generell ist problematisch, die Kontaktangaben bei den Domains sind überdeckt und die E-Mails müssen nicht immer ankommen. Aus eigener Erfahrung empfehlen wir Ihnen deshalb, die Verifizierung mittels eines DNS-Eintrages oder einer FTP-Datei durchzuführen, denn diese Methoden sind in vielen Fällen zuverlässiger und schneller.

Die Angaben für die Einrichtung dieser Alternativen finden Sie in Ihrem Kundenprofil und ebenfalls erhalten Sie sie von uns per E-Mail. In regelmäßigen und kurzen Zeitabständen überprüft die Zertifizierungsstelle den DNS-Eintrag oder die Anwesenheit der Datei auf FTP. Die alternative Verifizierung kann somit in wenigen Minuten erfolgen.

Die Angabe für die Verifizierung, den sog. random string, können Sie für beide Verifizierungsmethoden nutzen – sie ist gleich.

Verifizierung mittels DNS

Für die DNS-Verifizierung der Domain muss bei der überprüften Domain ein DNS-Eintrag vom Typ TXT erstellt werden. Eigentlich handelt es sich um die Einstellung einer unikalen Zeichenkette in dem TXT Eintrag zu der Subdomain _dnsauth.

Beispiel eines DNS Eintrages für die DNS-Verifizierung der Domain:

_dnsauth.sslmarket.de. 3600 IN TXT pyzm2vngxyfgwbh5d04n7j9nl4zrp51v

Die Zertifizierungsstelle wird in regelmäßigen Zeitabschnitten den TXT-Eintrag in dem DNS der Domain überprüfen. Falls der TXT Eintrag in Ordnung ist, wird die CA die Zertifikatsbestellung bestätigen und das Zertifikat automatisch ausstellen. Somit werden Sie auf die Bestätigungsmail nicht mehr warten müssen.

Verifizierung mittels einer Datei

Die Datei, die für die Verifizierung genutzt werden muss, finden Sie zum Download im Detail der Bestellung des SSL/TLS-Zertifikats. Die Datei fileauth.txt (Klartext) spielen Sie in den Ordner /.well-known/pki-validation/ (auf FTP der Domain) ein. Überprüfen Sie, ob die Datei für den Besucher von außen zugänglich ist und ob sie zum Beispiel von der Datei .htaccess nicht eingeschränkt wird.

Die verifizierte Datei muss somit zum Beispiel auf der folgenden URL abfrufbar sein:

http(s)://www.name-der-domain.de/.well-known/pki-validation/fileauth.txt.

Die Domainverifizierung wird nicht immer erfordert

Die Domainverifizierung muss bei jeder Bestellung eines DV-Zertifikats erfolgen, weil es sich um die Authorisierung der Zertifikatsausstellung handelt. Falls Sie jedoch die OV-Zertifikate mit der Überprüfung der Organisation oder die EV-Zertifikate mit der grünen Adressleiste besitzen, genügt es bei diesen, die Verifizierung nur einmal durchzuführen – die Zertifizierungsstelle wird sich diese eine schon abgeschlossene Bestätigung merken. Die anschließende Verlängerung oder neue Bestellung für dieselbe Domain werden gleich und automatisch verifiziert.

Sollten Sie bei der Domainvalidierung unsere Hilfe benötigen, wenden Sie sich an unseren Kundensupport. Wir sind der größte Anbieter der SSL/TLS-Zertifikate in Mitteleuropa und helfen Ihnen gerne in jedem Betreff.

 


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de