Ogni volta che si richiede il rilascio, il rinnovo o la riemissione di un certificato SSL, è necessario superare una procedura di validazione dominio (Domain Control Validation - "DCV"), per mezzo della quale la Certification Authority verifica che il richiedente del certificato disponga effettivamente della gestione del dominio.

Scopo di questa misura (che è obbligatoria ed uguale per tutte le Certification Authority) è di evitare abusi, ovvero di rendere impossibile che una persona non autorizzata e che non disponga della piena gestione e controllo del dominio, possa ottenere un certificato SSL per il dominio stesso.

Se il certificato è di tipo DV (Domain Validation), questa procedura è sostanzialmente l'unica necessaria; se invece il certificato è di tipo OV (Organization Validation) o EV (Extended Validation), allora, oltre alla verifica DCV seguiranno altre verifiche e controlli.

La procedura DCV può essere svolta in tre maniere differenti; la scelta del metodo è facoltà di chi richiede il certificato (anche se talvolta, in caso di dubbi, la Certification Authority può richiedere di effettuare o ri-effettuare la verifica in un'altra maniera).


Verifica Email

Consiste nell'invio, da parte della Certification Authority, di un messaggio ad una casella predefinita associata al dominio, a scelta tra:

  1. admin@dominio-da-certificare
  2. administrator@dominio-da-certificare
  3. webmaster@dominio-da-certificare 
  4. hostmaster@dominio-da-certificare
  5. postmaster@dominio-da-certificare

Se l'utente sceglie questo metodo, potrà anche specificare la casella preferita tra le precedenti.

A tale indirizzo, verrà inviata una e-mail con le istruzioni per procedere alla conferma del certificato (solitamente, si tratta di cliccare un link e di fornire successivamente conferma del fatto che è stato richiesto un certificato SSL)


HTTP o HTTPS

Consiste nell'inserimento all'interno del sito, in una determinata directory, di un file di testo, fornito dalla Certification Authority.

La Certification Authority verificherà automaticamente la presenza di questo file e, una volta riscontrata, la verifica sarà superata. L'inserimento del file solitamente andrà fatto via FTP (File Transfer Protocol) o (se disponibile sul server) via file manager.

Il file, normalmente, dovrà essere pubblicato in una posizione del tipo:

www.dominiodacertificare.com/.well-known/pki-validation/file.txt
(Fare attenzione al punto prima di well-known!!!)

Note:
Se il CSR è stato richiesto per il dominio www.dominiodacertificare.com, assicurarsi che il file sia accessibile all'URL senza www (http://dominiodacertificare.com/.well-known/pki-validation/)

Se il file è accessibile all'URL:

http://www.dominiodacertificare.com/.well-known/pki-validation/

ma non all'URL:

http://dominiodacertificare.com/.well-known/pki-validation/

è possibile che la validazione non venga superata.


La pubblicazione del file, può essere effettuata anche in ambiente HTTPS, sarà il cliente a scegliere in fase di compilazione del form.
In questo caso, verificare che il file sia effettivamente disponibile all'indirizzo:

https://dominiodacertificare.com/.well-known/pki-validation/file.txt 

una volta inserito il file, potete verificare che lo stesso sia raggiungibile semplicemente navigando con qualsiasi browser al relativo indirizzo:

https://dominiodacertificare.com/.well-known/pki-validation/file.txt 

se ciò non avviene, c'è qualcosa di errato (in caso di dubbi chiamare o inviare un’e-mail al nostro supportosaranno felici di aiutarvi).

Dopo che il file è stato inserito, entro un paio di ore la Certification Authority lo verificherà automaticamente; se ciò non avvenisse, significa che qualcosa non ha funzionato (anche in questo caso in caso potete chiamare o inviare un’e-mail al nostro supportosaranno felici di aiutarvi).


DNS

Consiste nell'inserimento nei DNS del dominio di un determinato record di tipo CNAME, indicato dalla Certification Autority.

Questo record DNS sarà del tipo

_159672f2e59c936a335e80a99d3f8542.dominiodacertificare.com CNAME 72CEFD494C27132BB21FC59F130AA235.E9A173E89C645482070F6010B4CBC30A.X5q7555oft5QV5BwRm66.comodoca.com


(il record precedente è un esempio per la Certification Authority GlobalTrust; altre Certification Authority forniranno record leggermente diversi, ma rispettando sempre comunque la struttura di base).

Una volta inserito il record, la Certification Authority lo verificherà automaticamente, in un tempo che, essendo legato al fenomeno di propagazione dei DNS, può riguardare alcune ore (Nota: l'utilizzo di server DNS di bassa qualità può comportare che siano necessarie anche 24h, perché l'operazione si completi).


Quale sistema di validazione scegliere?

Sono tutti e tre sostanzialmente equivalenti per efficacia, e tutti si possono concludere nell'arco di poche ore.

Se si ha il controllo del server e-mail, e specificatamente di una delle caselle ammesse per la verifica, allora la VERIFICA EMAIL è il metodo più efficiente e veloce.

Se si accede alla gestione del sito a mezzo FTP, allora può essere conveniente utilizzare la validazione a mezzo http o https.

Se infine si ha accesso alla gestione dei DNS, il terzo metodo è quello preferibile.

Inoltre, dipende dall'esperienza personale: se si ha esperienza di FTP, ma non di gestione DNS, allora converrà indirizzarsi verso il primo, anziché il secondo.


Guide