Validierungsmethoden für SSL-Zertifikate
Bevor ein SSL-Zertifikat ausgestellt werden kann, muss die Kontrolle über die betroffene Domain nachgewiesen werden. Dieser Prozess wird Validierung genannt. Im Kundencenter stehen hierfür drei verschiedene Methoden zur Verfügung, die nach dem Starten eines Reissues flexibel ausgewählt werden können.
DNS-Eintrag (Empfohlen)
Dies ist die einfachste Methode. Hierbei wird ein spezieller CNAME-Eintrag in den DNS-Einstellungen der Domain hinterlegt.
- Vorteil: Es müssen keine Dateien auf dem Webserver geändert und keine E-Mails abgerufen werden.
- Ablauf: Im Kundencenter werden die Felder für die Art (CNAME), den Namen (Host) und den Inhalt (Wert) angezeigt. Diese Daten werden exakt so in die DNS-Verwaltung der Domain kopiert.
- Wartezeit: Ein neu angelegter DNS-Eintrag ist fast nie sofort weltweit erreichbar. Es kann einige Zeit dauern, bis die Nameserver die Änderung geladen haben. Sobald der Eintrag im DNS-Editor gesetzt ist, muss die Überprüfung im Kundencenter manuell über die Schaltfläche "Validierung überprüfen" gestartet werden.
E-Mail-Validierung
Bei dieser klassischen Methode wird eine E-Mail mit einem Bestätigungslink an eine fest definierte Adresse der Domain gesendet.
- Eingeschränkte Adresswahl: Aus Sicherheitsgründen kann die E-Mail ausschließlich an Adressen wie
admin@,webmaster@,hostmaster@oderpostmaster@der betroffenen Domain gesendet werden. Eine freie Wahl der Empfängeradresse ist technisch ausgeschlossen. Dieses Postfach muss vorab existieren und E-Mails empfangen können. - Verzögerungen: Sollte die Bestätigungs-E-Mail nicht innerhalb weniger Minuten ankommen, prüfe bitte zunächst den Spam-Ordner. Zudem kann ein aktives Greylisting auf dem eigenen Mailserver die Zustellung der Nachricht um einige Minuten verzögern.
HTTP/HTTPS-Datei
Bei dieser Methode wird die Inhaberschaft bewiesen, indem eine kleine Textdatei auf dem Webserver hinterlegt wird. Sobald diese Option im Kundencenter ausgewählt wird, erscheinen die exakten Vorgaben für die Erstellung der Datei.
1. Ablauf & Dateipfad
Der im Kundencenter angezeigte Inhalt wird kopiert, in eine selbst angelegte Textdatei eingefügt und im Verzeichnis .well-known/pki-validation/ auf den Webserver hochgeladen.
Die Textdatei muss zwingend in diesem Verzeichnis hinterlegt werden. Wenn im Kundencenter unter dem Pfad beispielsweise der Name A266814BBAA25C6F014EBE6BCC4820F5.txt vorgegeben wird, muss die Datei exakt unter der folgenden URL erreichbar sein:
http://deinedomain.de/.well-known/pki-validation/A266814BBAA25C6F014EBE6BCC4820F5.txt
Wichtig
Wichtiger Hinweis zu den Dateinamen: Der hier genannte Dateiname dient lediglich als Beispiel. Für jede Domain und jeden Validierungsvorgang generiert das System einen vollständig individuellen, einzigartigen Dateinamen und Inhalt.
2. Einfacher Selbsttest bei Fehlern
Wenn unser System die Datei nicht erkennt, lässt sich dies leicht von dir überprüfen: Rufe die exakte Ziel-URL einfach testweise im eigenen Browser auf. Nur wenn die Adresse im Browser fehlerfrei aufrufbar ist und exakt der geforderte Inhalt ausgegeben wird, kann auch die automatische Überprüfung im Kundencenter erfolgreich abgeschlossen werden.
3. Besonderheit bei HTTPS
Vorsicht
Achtung bei abgelaufenen Zertifikaten: Wenn die Validierung per HTTPS ausgewählt wird, muss auf dem Server bereits ein gültiges und fehlerfreies SSL-Zertifikat aktiv sein. Sollte das aktuelle Zertifikat deiner Website bereits vollständig abgelaufen sein, schlägt die HTTPS-Abfrage fehl. Nutze in diesem Fall stattdessen die normale HTTP- oder die DNS-Methode.
Warnung
Wartezeit bei Abfragen (Rate Limit): Um eine Überlastung des Systems durch zu viele aufeinanderfolgende Klicks zu verhindern, ist ein sogenanntes Rate Limit aktiv. Nach dem Auslösen einer Überprüfung über die Schaltfläche "Validierung überprüfen" oder dem Wechseln der Validierungsmethode müssen zwingend mindestens 5 Minuten gewartet werden, bevor die Validierung erneut im Kundencenter angestoßen oder geändert werden kann.