Skip to main content

Errori comuni: metodo DCV dimostrazione pratica HTTP

Per convalidare il tuo dominio con il metodo DCV di dimostrazione pratica HTTP, ti servono due elementi:

  1. Un valore casuale fornito da DigiCert.

  2. A DigiCert-generated unique filename (for HTTP Practical Demonstration with unique filename only).

  3. L’URL o la posizione in cui devi mettere il file fileauth.txt contenente il valore casuale sul tuo sito web: http://[il-tuo-dominio]/.well-known/pki-validation/fileauth.txt.

    • http://[domain-name]/.well-known/pki-validation/fileauth.txt.

    • http://{domain-name}/.well-known/pki-validation/{unique-filename}.txt

L’URL fa due cose:

  1. Contiene il FQDN (nome dominio completamente qualificato) del dominio che vuoi che noi convalidiamo.

  2. Ci indica dove guardare in modo che possiamo trovare il file fileauth.txt a cui aggiungi il valore casuale generato.

Di seguito sono riportati alcuni dei problemi più comuni che si verificano quando cerchiamo i motivi per cui i controlli della Dimostrazione pratica HTTP falliscono. Il processo DCV Dimostrazione pratica HTTP è stato studiato per impedire a un individuo non autorizzato di usare un dominio che controlla per convalidare e ottenere un certificato per un dominio che non controlla, come uno dei tuoi.

Non modificare l’URL fornito

Se modifichi l’URL in qualsiasi modo (passi al FQDN, trasformi in maiuscola una lettera minuscola, dimentichi di aggiungere un punto, ecc.), non troveremo il file fileauth.txt con il nostro valore casuale generato in esso.

Per esempio, se ti forniamo questo URL: [http://il-tuo-dominio]/.well-known/pki-validation/fileauth.txt, non aggiungere www ([http://www.il-tuo-dominio]/.well-known/pki-validation/fileauth.txt) né mettere in maiuscolo una lettera che non lo era nell’URL originale ([http://il-tuo-dominio]/.well-known/PKI -validation/fileauth.txt).

Non mettere fileauth.txt su un dominio o un sottodominio diverso

Per completare la convalida di controllo dominio per [il-tuo-dominio], metti il file fileauth.txt nel dominio esatto che vuoi convalidare, quello per cui generiamo l’URL. Non guarderemo in un dominio o sottodominio diverso per trovare il nostro token casuale. Guarderemo solo il dominio che vuoi convalidare (come il dominio sul tuo ordine di certificato).

Ad esempio, se devi convalidare [il-tuo-dominio], generiamo un URL per questo dominio – [http://iltuodominio]/.well-known/pki-validation/fileauth.txt.

Non posizionare il file fileauth.txt nel [sub.il-tuo-dominio] né modificare l’URL e posizionarlo sul [il-tuo-altro-dominio] – non funziona. Non riusciamo a trovare il file fileauth.txt su questi domini. Lo stiamo cercando in [il-tuo-dominio], il dominio del tuo ordine di certificato o il dominio inviato per la pre-convalida.

[il-tuo-dominio] e www.[il-tuo-dominio]

Per preconvalidare www.[il-tuo-dominio] e [il-tuo-dominio], devi convalidare www.[il-tuo-dominio] e [il-tuo-dominio] separatamente. A partire dal 16 novembre 2021, puoi utilizzare solo il metodo DCV basato su file per dimostrare il controllo sui nomi di dominio completamente qualificati (FQDN), esattamente come indicato. Per ulteriori informazioni su questa modifica, consulta l’articolo di knowledgebase Modifiche dei criteri di convalida dominio nel 2021.

SAN di dominio base gratuito

Se hai ricevuto un SAN di dominio base gratuito sul tuo certificato SSL, accertati di mettere il file fileauth.txt sul dominio base. Dobbiamo convalidare il dominio nell’ordine di certificato SSL/TLS.

Non includere contenuti aggiuntivi nel file fileauth.txt

Quando crei il file fileauth.txt, copia il valore del token fornito da DigiCert e incollalo nel file. Non aggiungere la parola “token” o altri testi.

Poiché leggiamo solo i primi 2 kb del file fileauth.txt, altri testi ci bloccano la convalida del tuo controllo sul dominio.

Non mettere il file fileauth.txt su una pagina con più reindirizzamenti

Quando si utilizza il metodo Dimostrazione pratica HTTP per la convalida dominio, il file fileauth.txt può essere posizionato su una pagina che contiene fino a un reindirizzamento. Con un solo reindirizzamento, siamo ancora in grado di individuare il file fileauth.txt e verificare il tuo controllo sul dominio.

Ad esempio, ti serve un certificato per http://esempio.com, ma la pagina reindirizza a https://www.esempio.com. Va bene. Metti il file fileauth.txt nella pagina http://esempio.com. Saremo ancora in grado di seguire il reindirizzamento singolo per convalidare il tuo controllo su http://esempio.com.

Tuttavia, se metti il file fileauth.txt su una pagina con più reindirizzamenti, non potremo individuare il file. Più reindirizzamenti ci bloccano l’individuazione del file fileauth.txt e la convalida del tuo controllo sul dominio.

Ad esempio, ti serve un certificato per http://multiple-redirect.com, ma la pagina reindirizza a https://www.multiple-redirect.com, quindi reindirizza di nuovo a https://www.single-redirect.com. In questo caso, devi ancora mettere il file fileauth.txt nella pagina http://multiple-redirect.com. Tuttavia, dovrai disabilitare il secondo reindirizzamento (https://www.single-redirect.com) abbastanza lungo per noi per individuare il file fileauth.txt e convalidare il tuo controllo su http://multiple-redirect.com.