Accesso utenti

Certificati SSL Server

 
  • Guida alla validazione dei domini

Guida alla validazione dei domini

Questa pagina si applica esclusivamente ai certificati SSL Server.
 
Come parte della procedura di evasione delle richieste di certificati SSL Server, è necessario che il richiedente dimostri alla CA di avere il controllo di tutti i domini (FQDN) da includere nel certificato. Questa verifica (Domain Control Validation o DCV) può essere svolta solamente con metodi approvati dal CAB Forum. Tranne che in casi particolari, il processo di DCV richiede anche azioni da parte del Richiedente.
 
Actalis supporta ad oggi i metodi di DCV descritti nella seguente tabella:
 
Metodo di DCV Descrizione
email-admin La CA invia una email all’amministratore del dominio da validare (oppure di un dominio di livello superiore) a una delle caselle privilegiate standard, ovvero: postmaster, webmaster, hostmaster, administrator, admin@dominio. La mail contiene un link univoco che il ricevente deve cliccare, seguendo poi le istruzioni mostrate dal browser. La CA attende che il Richiedente legga tale mail e proceda nel modo atteso, per dimostrare di avere il controllo del dominio.
email-contact Simile al metodo precedente, ma la email viene inviata ad una casella di posta elettronica ricavabile dal record WHOIS del dominio. Anche in questo caso, si suppone che il Richiedente legga la mail e proceda come descritto sopra per dimostrare di avere il controllo del dominio. Questo metodo presuppone che almeno una casella di email sia presente nell'output del comando whois <dominio>. Se la email è visibile solo con altre modalità di interrogazione, per es. attraverso il sito web del registrar, questo metodo richiede l'intervento manuale di un operatore della CA, col conseguente allungamento del processo. Questo metodo è supportato, ma non raccomandato.
website-change

Per dimostrare il controllo del dominio, il Richiedente deve pubblicare un file di testo semplice (txt) sul server HTTP del dominio da validare (oppure un dominio di livello superiore). Il file deve contenere un valore univoco di conferma generato dalla CA (*), senza spazi né ritorni a capo, e dev’essere pubblicato al seguente URL:

http(s)://dominio/.well-known/pki-validation/actalis.txt

La CA verificherà automaticamente la presenza del file sul server, nel path e col contenuto atteso. Per la creazione del file di testo actalis.txt si raccomanda di utilizzare un editor di testo semplice (es. Notepad o simile).

Notare bene che:
  • nessun altro path può essere utilizzato (si tratta di uno standard)
  • il punto "." prima di "well" non è un refuso: è indispensabile
  • non vengono seguite le “redirect” HTTP
dns-change Per dimostrare il controllo del dominio, il Richiedente deve pubblicare un record TXT sul server DNS del dominio da validare (oppure un dominio di livello superiore). Il record TXT deve avere il seguente valore:
 
actalis-dcv=confirmationValue”

…dove confirmationValue è un valore univoco di conferma generato dalla CA (*). La CA verificherà automaticamente la presenza del record TXT sul dominio, col contenuto atteso. Per verificare la corretta pubblicazione del record TXT, si può utilizzare il comando nslookup (in ambiente Windows) oppure dig (in ambiente Linux).
query-aruba Questo metodo è utilizzabile solo per i domini registrati e gestiti da Aruba. In questo caso, non è richiesta alcuna azione particolare da parte del Richiedente per dimostrare il controllo del dominio in esame.
(*) Questo valore viene trasmesso per email al Riferimento Tecnico del Richiedente a cura del team di assistenza clienti di Actalis (nel caso di richiesta via email) oppure visualizzato al Richiedente (nel caso di richiesta via web).
 
Note importanti:
 
  • La validazione dei domini deve completarsi entro 30 giorni solari, allo scadere dei quali la validazione si considera fallita.
  • Una volta superata con successo la validazione, il dominio resta valido per 12 mesi; durante questo lasso di tempo il Richiedente può ottenere uno o più certificati contenenti quel dominio senza necessità di ulteriori validazioni; allo scadere dei 12 mesi dall'ultima validazione, per ottenere ulteriori certificati contenenti quel dominio è indispensabile superare una nuova validazione.
Avvertenza: la gamma dei metodi supportati per la validazione dei domini può cambiare a seguito di cambiamenti normativi (per es. un aggiornamento dei Baseline Requirements del CAB Forum) e/o nel caso in cui si dimostri che alcuni metodi sono vulnerabili a qualche attacco di sicurezza.
  • Durata massima dei certificati dal 1 settembre 2020
    Recentemente, un importante browser vendor ha dichiarato che dal 1 settembre 2020 non considererà più validi e sicuri certificati SSL emessi dopo tale data che avranno validità superiore ai 398 giorni (pari ad un anno + 1 mese).
    Per tale motivo, dal giorno 03/08/2020 Actalis emetterà certificati SSL Server con una durata massima di 1 anno, al netto del periodo di preavviso per il rinnovo.
    Fino al 03/08/2020 potranno comunque essere acquistati e attivati certificati SSL da 24 mesi dal momento che, quelli già attivi alla data indicata verranno comunque ritenuti validi fino a scadenza.
  • Certificati EIDAS per PSD2
    L'entrata in vigore della seconda direttiva europea sui servizi di pagamento (PSD2) ha innescato una rivoluzione nel mondo dei pagamenti online. Entro metà settembre 2019, le transazioni tra banche dell'UE e le terze parti (TPP) devono essere protette con certificati qualificati conformi al regolamento eIDAS: certificati qualificati per siti Web (QWAC) e/o certificati qualificati per sigillo elettronico (QSEalC) contenenti le informazioni PSD2 relative al Titolare. Se siete interessati a questi certificati, scrivete a info@actalis.it
*:
*:
*:
*:
:
*:
*:
:
*:
*:
*:

Premendo il pulsante dichiaro di aver preso visione dell'Informativa Privacy di Actalis S.p.A.

*:
 Security code
(*) Campi obbligatori