La validazione dei domini deve completarsi entro 30 giorni solari, allo scadere dei quali la validazione si considera fallita.
La validazione del dominio (DCV -
Domain Control Validation) serve a dimostrare alla CA (
Certification Authority) di avere il controllo di tutti i domini (FQDN) da includere nel certificato. Nella procedura di attivazione del certificato SSL, alla sezione
Domini da certificare devi indicare la modalità con cui vuoi validare il dominio, e puoi scegliere tra:
1. Non disponibile per protezione singolo dominio + sottodomini.
2. Solo per certificati SSL OV ed EV.
Email all'amministratore del dominio
Selezionando questo metodo la CA invia un'email all'amministratore del dominio da validare (oppure di un dominio di livello superiore, del tipo
terzolivello.nomedominio.estensione) a una delle caselle privilegiate standard del tipo:
L'email contiene un link univoco (valido per 30 giorni) che devi cliccare, seguendo poi le istruzioni mostrate dal browser.
Se stai proteggendo un singolo dominio ed hai indicato il nome del dominio senza www (nomedominio.estensione), il certificato comprenderà anche il dominio con www (www.nomedominio.estensione).
La CA attenderà che tu abbia concluso la procedura per poter così confermare il controllo del dominio.
Email a un contatto del dominio
Selezionando questo metodo la CA invia un'email ad una casella di posta elettronica ricavabile dal record WHOIS del dominio.
Questo metodo presuppone che nell'output del comando WHOIS sia presente almeno una casella email. Se l'email è visibile solo con altre modalità di interrogazione, per es. attraverso il sito web del registrar, questo metodo richiede l'intervento manuale di un operatore della CA, col conseguente allungamento del processo.
L'email contiene un link univoco (valido per 30 giorni) che devi cliccare, seguendo poi le istruzioni mostrate dal browser.
Se stai proteggendo un singolo dominio ed hai indicato il nome del dominio senza www (nomedominio.estensione), il certificato comprenderà anche il dominio con www (www.nomedominio.estensione).
La CA attenderà che tu abbia concluso la procedura per poter così confermare il controllo del dominio.
Pubblicazione file su server HTTP
Selezionando questo metodo la CA invia un'email all'amministratore del dominio da validare, contenente una stringa univoca (valida per 30 giorni). Per dimostrare il controllo del dominio devi creare un file di testo .txt (nominato
actalis.txt) che contenga la stringa di testo riportata nell'email ricevuta: questo file dovrà poi essere pubblicato sul server HTTP del dominio da validare (oppure di un dominio di livello superiore), al seguente URL:
http(s)://nomedominio.estensione/.well-known/pki-validation/actalis.txt
Per la creazione del file di testo actalis.txt ti raccomandiamo l'utilizzo di un editor di testo semplice (es. Notepad), ricordando che:
- all'interno del file non dovranno essere presenti spazi né ritorni a capo;
- il file "actalis.txt" deve essere pubblicato solo al percorso sopra indicato (si tratta di uno standard);
- il punto . prima di well non è un errore, è indispensabile;
- non vengono seguiti i redirect HTTP.
La CA verificherà automaticamente la presenza del file "actalis.txt" sul server al percorso indicato, verificandone anche il contenuto.
Se stai proteggendo un singolo dominio ed hai indicato il nome del dominio senza www (nomedominio.estensione), il sistema ti chiederà se vuoi richiedere il certificato anche per il dominio con www (www.nomedominio.estensione).
Nel caso in cui tu abbia scelto di validare entrambi i domini, sarà inviata una mail per ciascun dominio scelto: ogni mail conterrà la specifica stringa per quel determinato dominio.
La validazione sarà terminata solo quando sarà pubblicato ciascun file nel rispettivo indirizzo.
Se non puoi tecnicamente pubblicare 2 file diversi ai 2 percorsi, la validazione tramite website-change non è possibile e dovrai quindi selezionare un diverso metodo di validazione.
Creazione record TXT sul dominio
Selezionando questo metodo nel campo
Email/challenge apparirà una stringa di codice del tipo
actalis-dcv=confirmationvalue (dove
confirmvalue è un codice univoco). Confermando tramite il pulsante
Invia la CA invierà una email al riferimento tecnico contenente la stringa. Questa stringa dovrà essere inserita nel record TXT del dominio. Per verificare la corretta pubblicazione del record TXT puoi utilizzare i seguenti domandi:
- nslookup per ambiente Windows;
- dig per ambiente Linux.
Se stai proteggendo un singolo dominio ed hai indicato il nome del dominio senza www (nomedominio.estensione), il certificato comprenderà anche il dominio con www (www.nomedominio.estensione).
La CA verificherà automaticamente la presenza del record TXT per il dominio.
Consultazione del database dei domini di Aruba
Questo metodo è utilizzabile solo per i domini registrati e gestiti da Aruba:
- nslookup per ambiente Windows;
- dig per ambiente Linux.
Se stai proteggendo un singolo dominio ed hai indicato il nome del dominio senza www (nomedominio.estensione), il certificato comprenderà anche il dominio con www (www.nomedominio.estensione).
In questo caso, non devi fare alcuna azione per dimostrare il controllo del dominio in esame: sarà infatti la CA a consultare il database dei domini gestiti da Aruba S.p.A per eseguire la verifica. La validazione in questo caso può richiedere alcune ore.