Co je to DV certifikát?

Doménový – DV SSL certifikát je označení pro SSL/TLS certifikáty, které jsou ověřovány pouze na úrovni existence domény. Zkratka DV znamená Domain Validated (Doménové Ověření). Tyto SSL certifikáty zajišťují zabezpečenou HTTPS komunikaci pro naprostou většinu domén na internetu a jsou vhodné pro jakýkoliv internetový projekt.

Aby mohl být certifikáty vydán, musí certifikační autorita provést ověření (validaci) majitele domény či administrátora/správce domény. Komerční DV certifikáty nabízí nejjednodušší možnost ověření, a to zaslání validačního e-mailu na vybranou schránku a následné potvrzení, nejčastěji kliknutím na odkaz a odsouhlasením žádosti o vystavení certifikátu. CA poté může vystavit certifikát.

Nespornou výhodou DV SSL certifikátů je rychlost vystavení a možnost okamžitého nasazení na server. DV SSL certifikáty jsou nejlevnější SSL certifikáty.

 

Při objednávce SSL certifikátu si můžete pro zaslání potvrzovacího e-mailu vybrat z 5 e-mailových adres, které jsou:

  • admin@doména.cz
  • administrator@doména.cz
  • webmaster@doména.cz
  • hostmaster@doména.cz
  • postmaster@doména.cz

Tyto adresy jsou dány pravidly CAB fóra, kterými se musí certifikační autority řídit. Pokud ani jedna schránka na doméně neexistuje, je nutné ji vytvořit, nebo použít například tzv. doménový koš do kterého „padají“ všechny maily zaslané na neexistující schránky.
Kromě validace existence domény pomocí e-mailu jsou k dispozici také alternativní způsoby validace.

Zobrazení DV SSL/TLS certifikátu
Zobrazení DV SSL/TLS certifikátu – informace pouze o doméně.

Alternativní způsoby ověření u DV certifikátů

Kromě validace domény pomocí e-mailu, existují i další možnosti jak SSL certifikát získat.

Autentizace založená na kontrole souboru (File-Based Authentication)

Certifikační autorita vygeneruje textový soubor s jedinečným textovým řetězcem, který je potřeba nahrát do určeného adresáře webu domény. Poté si CA sama zkontroluje existenci a obsah souboru a vystaví certifikát. Instrukce jak se má soubor jmenovat a co obsahuje jsou poskytnuty během objednávky a můžou se dle autority lišit.
Validační soubor se umisťuje do adresáře domenaxyz.cz/.well-known/pki-validation/

Autentizace záznamu v DNS (CNAME-Based Authentication)

Ověření domény lze provést také vytvořením pomocí TXT záznamu, případně CNAME v DNS. Nastavení se provádí například v DNS manažeru registrátora domény. Certifikační autorita vygeneruje jedinečné textové řetězce, které je potřeba podle pokynů zadat do DNS záznamů. Pro CNAME se používá formát: „<MD5 hash> .doména.cz CNAME <SHA-1 hash> .doména.cz“. Certifikační autorita bude pravidelně kontrolovat záznam v DNS a po ověření vystaví certifikát.

Zaslání e-mailu na kontakt uvedený v DNS

Novým způsobem validace, který podporují pouze některé certifikační autority je možnost zaslání validačního e-mailu na jakýkoliv vlastní e-mail. Tento e-mail musí být však uveden v TXT záznamu DNS domény.

Zaslání e-mailu na kontakt uvedený ve WHOIS

Informace o majiteli domény jsou uváděny v tzv. WHOIS. Certifikační autorita může zaslat potvrzovací e-mail na adresu majitele, která bývá odlišná od názvu domény a je uvedena v databázi Registru domén. Tato nabídka validace byla s nástupem GDPR a skrytím údajů ve WHOIS zrušena.

DV SSL certifikáty

Z hlediska bezpečnosti nabízí DV SSL certifikáty základní, ale dostatečné zabezpečení, tj. navázání komunikace mezi prohlížečem a serverem a následný zabezpečený přenos dat. Hodí se všude, kde potřebujeme jednoduše a rychle zabezpečit přenos dat pomocí protokolu HTTPS.
Mezi populární komerční doménové SSL certifikáty patří například certifikáty RapidSSL od stejnojmenné certifikační autority RapidSSL nebo PositiveSSL certifikáty od certifikační autority Sectigo. Alternativou ke komerčním SSL certifikátům jsou například velice populární automatizované certifikáty Let’s Encrypt.

DV certifikáty nenabízí druhou důležitou vlastnost SSL certifikátů – ověření pravosti provozovatele serveru s kterým se komunikuje. Tuto vyšší důvěru nabízí firemní OV a EV SSL certifikáty, které v sobě obsahují název firmy provozující doménu. Před vystavením firemního certifikátu musí certifikační autorita ověřit nejenom existenci domény, ale i firmy.

Původní článek z 31.8.2017 aktualizován.

Napsat komentář

5 + 2 =