Op 20 juli 2017 zal Comodo de domeinvalidatieprocessen (DCV) voor SSL-certificaten op details wijzigen. Dit betreft met name validatie via HTTP(S) en DNS. Zoals je weet biedt Comodo op dit moment drie manieren om domeinvalidatie uit te voeren:
- E-mail: er wordt een e-mail naar een van de whoiscontacten of naar een standaard @domein-contact gestuurd.
- HTTP(S): Comodo controleert of een tekstbestand met specifieke naam en inhoud bestaat op http(s)://fully.qualified.name/filename.txt
- DNS CNAME: Comodo controleert of er een CNAME-record bestaat met het formaat
randomvalue.fully.qualified.name CNAME randomvalue2.comodoca.com.
Het e-mailvalidatieproces blijft zo goed als ongewijzigd. De enige significante wijziging is dat DCV-emails nog maar 30 dagen geldig zijn. Lukt het niet om binnen deze 30 dagen te valideren, dan is een nieuwe e-mail noodzakelijk. Er zijn geen API-wijzigingen benodigd.
HTTP(S)
De bestandsnaam blijft ongewijzigd: de MD5-hashwaarde van de CSR in hoofdletters. De inhoud van het bestand en de locatie waar het bestand staat worden echter veranderd:
- Inhoud: in plaats van een SHA1-hash van de CSR op de eerste regel dien je een SHA-256-hash te gebruiken
- Locatie: het bestand (dat nu nog in de root staat) verplaatst naar de vaste subdirectory /.well-known/pki-validation, zodat het volledige pad bijvoorbeeld wordt:
http(s)://fully.qualified.name/.well-known/pki-validation/.txt
DNS CNAME
Het record zal nog steeds een CNAME-record zijn. Wat er wel verandert:
- Naam: je dient een underscore (_) voor de MD5-hash van de CSR te zetten
- Waarde: je dient de SHA-256-hash van de CSV op te splitsen in twee strings van 32 tekens en deze achter elkaar te plakken met een punt ertussen. Een nieuw DCV CNAME-record kan er dus als volgt uit zien:
_c7fbc2039e400c8ef74129ec7db1842c.fully.qualified.name CNAME c9c863405fe7675a3988b97664ea6baf.442019e4e52fa335f406f7c5f26cf14f.comodoca.com.