Comodo wijzigt domein validatie

29 juni 2017

Het CA/Browser forum heeft de richtlijnen voor domein validatie gewijzigd. Dit heeft gevolgen voor de manier waarop domein controle wordt gedaan voor de uitgifte van een certificaat. Comodo gaat deze regels al op korte termijn doorvoeren, namelijk per 20 juli 2017. De wijzigingen hebben voornamelijk gevolgen voor de alternatieve validatiemethoden CNAME en bestandsvalidatie. Deze gewijzigde CA/B richtlijnen zullen geïmplementeerd worden door alle CA's.

Wat is Domein Controle Validatie (DCV)?

DCV is een methode voor het verifiëren van de domeineigenaar voor uitgifte van een certificaat. Comodo heeft drie methoden voor DCV:

  • E-mail - verstuurd naar een van de hiervoor toegestane e-mailadressen.
  • HTTP(S)- hierbij wordt er gekeken naar een tekstbestand met een bepaalde inhoud op een specifieke locatie.
  • DNS CNAME - hierbij wordt er gekeken naar een CNAME record op een specifieke locatie.

Deze drie methoden blijven na 20 juli gewoon beschikbaar. Wel zullen er een aantal technische details, zoals locatie en inhoud van het bestand of het DNS record, wijzigen.

Wat gaat er veranderen?

  • De e-mail validatie procedure wijzigt niet, wel wordt de geldigheid beperkt tot 30 dagen.
  • Bij HTTP(S)/bestandsvalidatie worden er meerdere wijzigingen doorgevoerd aan de inhoud en locatie van het bestand. In plaats van te kijken naar de root van de FQDN zal er een specifiek pad gebruikt gaan worden. Ook wordt de huidige SHA-1 hash waarde vervangen door een SHA-256 waarde.
  • Een hashwaarde moet volgens de nieuwe regels uniek zijn, en mag dus maar één keer worden gebruikt. Bij het gebruiken van dezelfde CSR is het toevoegen van een extra waarde nodig om alsnog een unieke hashwaarde te krijgen.

Wat betekent dit voor mij?

  • Tot 20 juli kunnen zowel de oude (SHA-1 en MD5) als de nieuwe methode (SHA-2 en MD5) gebruikt worden, na 20 juli alleen nog de nieuwe methode.
  • Als je bestelt via het Control Panel op onze website krijg je nieuwe invoerwaarden voor de DCV.
  • Als je de API gebruikt, of als je het HTTP(S) of DNS gedeelte van het proces hebt geautomatiseerd, kunnen er wellicht aanpassingen nodig zijn als je zelf de hashwaarden berekent. Voor orders die via onze API worden geplaatst worden de juiste gegevens al bekend gemaakt op basis van de gekozen DCV methode.
  • Als er voor een certificaat verlenging of heruitgifte een unieke CSR wordt gebruikt, is de SHA-2 / MD5 hash voldoende.
  • In sommige gevallen kan het echter handig zijn dezelfde CSR te gebruiken voor een verlenging of heruitgifte. Bijvoorbeeld omdat hierdoor bij een heruitgifte de huidige domeinen niet opnieuw gevalideerd hoeven te worden. Bij deze aanvragen maak je een unieke hashwaarde door een 'Unique Value' toe te voegen. Deze levert Xolphin aan, of kan via de REST API doorgegeven worden.

In Comodo Domein Controle Validatie lees je alle details. Nog vragen? Neem dan even contact met ons op!

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.