Co je to DV certifikát?

Co je to DV certifikát?

DV SSL certifikát je označení pro SSL/TLS certifikáty, které jsou ověřovány pouze na úrovni domény. Zkratka DV znamená Domain Validated (Doménové Ověření).

Aby mohl být certifikáty vydán, musí certifikační autorita (CA) provést ověření (validaci) majitele domény či administrátora domény. DV certifikáty nabízení nejjednodušší možnost ověření, a to zaslání e-mailu na zvolený e-mail a následné potvrzení, nejčastěji kliknutím na odkaz a odsouhlasením žádosti o vystavení certifikátu. CA poté může vystavit certifikát.

Nespornou výhodou DV SSL certifikátů je rychlost vystavení a možnost okamžitého nasazení na server. DV SSL certifikáty jsou nejlevnější SSL certifikáty.

 

Při objednávce SSL certifikátu si můžete pro zaslání potvrzovacího e-mailu vybrat z 5 e-mailových adres, které jsou:

  • admin@doména.cz
  • administrator@doména.cz
  • webmaster@doména.cz
  • hostmaster@doména.cz
  • postmaster@doména.cz

Pokud ani jedna schránka na doméně neexistuje, je nutné ji vytvořit, nebo použít tzv. doménový koš do kterého „padají“ všechny maily zaslané na neexistující schránky.

Zobrazení DV SSL/TLS certifikátu
Zobrazení DV SSL/TLS certifikátu – informace pouze o doméně.

Alternativní ověření DV certifikátů

Kromě výše uvedeného ověření, existují i další možnosti jak SSL certifikát získat.

Autentizace založená na kontrole souboru (File-Based Authentication)

Certifikační autorita vygeneruje textový soubor, který je potřeba nahrát do určeného adresáře webu domény. Poté si CA sama zkontroluje existenci a obsah a vystaví certifikát. Instrukce kam se má soubor nahrát, a jak se má jmenovat jsou poskytnuty během objednávky a můžou se dle autority lišit.
Touto metodou je ověřováno vystavení populárních SSL certifikátů Let’s Encrypt.

Autentizace záznamu v DNS (CNAME-Based Authentication)

Ověření domény lze provést vytvořením záznamu CNAME v DNS. Nastavení se provádí například v DNS manažeru registrátora domény. Certifikační autorita vygeneruje dva jedinečné textové řetězce (MD5 a SHA1), které je potřeba podle pokynů zadat DNS. Používá se formát: „<MD5 hash> .doména.cz CNAME <SHA-1 hash> .doména.cz“. CA bude pravidelně kontrolovat CNAME záznam v DNS a po ověření vystaví certifikát.

Zaslání e-mailu na kontakt uvedený ve WHOIS

Informace o majiteli domény jsou uváděny v tzv. WHOIS. Certifikační autorita může zaslat potvrzovací e-mail na adresu majitele, která bývá odlišná od názvu domény a je uvedena v databázi Registru domén. Některé CA umožňují zaslat validaci i na Admin nebo Tech kontakt (Certifikační autorita COMODO), toto je však potřeba vyžádat a vystavení není již tak rychlé. [Aktualizace 2018 – tato nabídka validace byla prakticky s nástupem GDPR a skrytím údajů ve WHOIS zrušena.]

DV SSL certifikáty

Z hlediska bezpečnosti nabízí DV SSL certifikáty základní zabezpečení, tj. navázání komunikace mezi prohlížečem a serverem a následný zabezpečený přenos dat. Hodí se všude, kde potřebujeme zabezpečit přenos dat a vzhledem k vynucování protokolu HTTPS moderními prohlížeči, je brzy nalezneme na drtivé většině webových stránek.
DV certifikáty však nenabízí druhou důležitou vlastnost a tou je ověření pravosti serveru s kterým se komunikuje. Tuto vyšší důvěru nabízí OV SSL certifikáty, které obsahují název firmy provozující doménu a nebo nejdůvěryhodnější EV SSL certifikáty, které jsou navíc zobrazovány v prohlížeči se zeleným adresním řádkem a názvem firmy.

 

 

Napsat komentář

9 + 1 =