Errori comuni del metodo DCV di dimostrazione pratica HTTP
Per convalidare il tuo dominio con il metodo DCV di dimostrazione pratica HTTP, ti servono due elementi:
Un valore casuale fornito da DigiCert)
L’URL o la posizione in cui devi mettere il file fileauth.txt contenente il valore casuale sul tuo sito web, ad esempio: http://[iltuodominio.com]/.well-known/pki-validation/fileauth.txt)
L’URL (http://[iltuodominio.com]/.well-known/pki-validation/fileauth.txt) fa due cose:
Contiene il FQDN (nome dominio completamente qualificato) del dominio che vuoi che noi convalidiamo.
Ci indica dove guardare in modo che possiamo trovare il file fileauth.txt a cui aggiungi il valore casuale generato.
Di seguito sono riportati alcuni dei problemi più comuni verificatisi quando risolviamo le cause per cui il controllo del file fallisce. Il processo DCV Dimostrazione pratica HTTP è stato studiato per impedire a un individuo non autorizzato di usare un dominio che controlla per convalidare e ottenere un certificato per un dominio che non controlla, come uno dei tuoi.
Non modificare l’URL fornito da DigiCert
Se modifichi l’URL in qualsiasi modo (cambi FQDN, trasformi in maiuscola una lettera minuscola, dimentichi di aggiungere un punto, ecc.), non troveremo il file fileauth.txt con il nostro valore casuale generato in esso.
Ad esempio, con questo URL: [http://iltuodominio.com]/.well-known/pki-validation/fileauth.txt, non aggiungere www ([http://]www.iltuodominio.com]/.well-known/pki-validation/fileauth.txt) né trasformare in maiuscolo una lettera che non lo era nell’URL originale ([http://[iltuodominio.com]/.well-known/PKI-validation/fileauth.txt).
Non mettere file fileauth.txt su un dominio o un sottodominio diverso
Per completare la convalida di controllo dominio per iltuodominio.com, metti il file fileauth.txt file nel dominio esatto che vuoi far convalidare. Non guarderemo in un dominio o sottodominio diverso per trovare il valore casuale. Guarderemo solo il dominio che vuoi far convalidare (ad es. il dominio sul tuo ordine di certificato).
Ad esempio, se devi convalidare [iltuodominio].com, userai questo URL per questo dominio: http://[iltuodominio].com/.well-known/pki-validation/fileauth.txt. Non posizionare il file fileauth.txt nel sub.[iltuodominio].com né modificare l’URL e posizionarlo su [iltuoaltrodominio].com – non funziona. Non riusciamo a trovare il file fileaut.txt su questi domini. Lo stiamo cercando su [iltuodominio].com, il dominio dal tuo ordine di certificato.
[il-tuo-dominio] e www.[il-tuo-dominio]
Per convalidare www.[il-tuo-dominio] e [il-tuo-dominio], devi posizionare il file fileauth.txt sia su www.[il-tuo-dominio] che su [il-tuo-dominio]. A partire dal 16 novembre 2021, puoi utilizzare solo il metodo DCV basato su file per dimostrare il controllo sui nomi di dominio completamente qualificati (FQDN), esattamente come indicato. Per scoprire ulteriori informazioni su questa modifica, consulta l’articolo di knowledge base Modifiche dei criteri di convalida dominio nel 2021.
SAN di dominio base gratuito
Se hai ricevuto un SAN di dominio base gratuito sul tuo certificato SSL/TLS, accertati di mettere il file fileauth.txt sul dominio base. Dobbiamo convalidare il dominio nell’ordine di certificato SSL/TLS.
Non includere contenuti aggiuntivi nel file fileauth.txt
Quando crei il file fileauth.txt, copia il valore casuale fornito da DigiCert e incollalo nel file. Non aggiungere la parola “token”, “valore” o altri testi.
Poiché leggiamo solo i primi 2 kb del file fileauth.txt, altri testi ci bloccano la convalida del tuo controllo sul dominio.
Non mettere il file fileauth.txt su una pagina con più reindirizzamenti
Quando si utilizza il metodo DCV Dimostrazione pratica HTTP, il file fileauth.txt può essere posizionato su una pagina che contiene fino a un reindirizzamento. Con un solo reindirizzamento, siamo in grado di individuare il file fileauth.txt e verificare il tuo controllo sul dominio.
Ad esempio, ti serve un certificato per http://esempio.com, ma la pagina reindirizza a https://www.esempio.com. Va bene. Puoi mettere il file fileauth.txt nella pagina http://esempio.com. Saremo ancora in grado di seguire il reindirizzamento singolo per convalidare il tuo controllo su http://esempio.com.
Tuttavia, se metti il file fileauth.txt su una pagina con più reindirizzamenti, non potremo individuare il file. Più reindirizzamenti ci bloccano l’individuazione del file fileauth.txt e la convalida del tuo controllo sul dominio.
Ad esempio, ti serve un certificato per http://multiple-redirect.com, ma la pagina reindirizza a https://www.multiple-redirect.com, quindi reindirizza di nuovo a https://www.single-redirect.com. In questo caso, devi ancora mettere il file fileauth.txt nella pagina http://multiple-redirect.com. Tuttavia, devi disabilitare il secondo reindirizzamento (https://www.single-redirect.com) abbastanza lungo per noi per individuare il file fileauth.txt e convalidare il tuo controllo su http://multiple-redirect.com.