Стандартные ошибки: Метод DCV с практической демонстрацией HTTP

Чтобы проверить свой домен с использованием метода DCV с практической демонстрацией HTTP, вам потребуются два элемента: 1) произвольное значение, предоставленное DigiCert, и 2) URL-адрес или местоположение, где вам нужно разместить файл fileauth.txt, содержащий произвольное значение, на вашем веб-сайте: http://[your-domain]/.well-known/pki-validation/fileauth.txt.

URL-адрес выполняет две функции:

  • Он содержит FQDN (полное доменное имя) домена, который мы должны проверить по вашему требованию.
  • Он информирует нас о том, где мы можем найти файл fileauth.txt, к которому вы добавите случайным образом генерированное значение.

Ниже рассматриваются некоторые стандартные проблемы, с которыми мы столкнулись при поиске и устранении причин ошибок при проверках с использованием практической демонстрации HTTP. Процесс DCV с использованием практической демонстрации HTTP разработан в целях предотвращения использования неавторизованными лицам домена, которым они управляют, для проверки и получения сертификата для домена, который они не контролируют,, например, одним из нас.

Не изменяйте предоставленный URL-адрес

Если вы каким-либо образом изменили URL-адрес (изменили FQDN, воспользовались вместо строчной буквы прописной, забыли добавить точку и т. д.), мы не сможем найти файл fileauth.txt, содержащий сгенерированное нами случайным образом значение.

Например, если мы указываем вам следующий URL-адрес: [http://your-domain]/.well-known/pki-validation/fileauth.txt, не добавляйте www к нему ([http://www.your-domain]/.well-known/pki-validation/fileauth.txt) и не заменяйте на прописные какие-либо буквы, которые не являются прописными в исходном URL-адресе ([http://your-domain]/.well-known/PKI-validation/fileauth.txt).

Не помещайте файл fileauth.txt в другой домен или субдомен

Для завершения процедуры проверки контроля над доменом (DCV) для[your-domain], поместите файл fileauth.txt именно в тот домен, который вы хотите проверить; это домен, для которого мы сгенерировали URL-адрес. Мы не будем просматривать другие домены или субдомены для поиска нашего случайным образом сгенерированного токена. Мы будем просматривать только домен, который вы хотите проверить (например, домен, указанный в вашем заказе сертификата).

Например, при необходимости проверки[your-domain] мы генерируем URL-адрес для этого домена —[http://yourdomain]/.well-known/pki-validation/fileauth.txt. Не размещайте файл fileauth.txt file на[sub.your-domain] и не изменяйте URL и не размещайте его на[your-other-domain] — это не будет работать. Мы не сможем найти файл fileauth.txt на этих доменах. Мы ищем его на[your-domain], домене из вашего заказа на сертификат или на домене, который вы представили для предварительной проверки.

[your-domain] и www.[your-domain]

Если вы хотите, чтобы мы проверили достоверность www.[your-domain] и[your-domain], разместите файл fileauth.txt file на[your-domain]. При этом будут проверяться[your-domain], и www. [your-domain]. Мы не будем искать на www.[your-domain] файл fileauth.txt.

Бесплатный SAN базового домена

Если вы получили бесплатное доменное SAN в вашем сертификате SSL, вы должны поместить файл fileauth.txt в базовый домен. Мы должны проверить домен, указанный в заказе сертификата SSL/TLS.

Не включайте никакой дополнительный контент в файл fileauth.txt

При создании файла fileauth.txt скопируйте значение токена, предоставленное DigiCert, и вставьте его в файл. Не добавляйте слово "токен" или какой-либо другой текст.

Поскольку мы осуществляем чтение только первых 2 кБ файла fileauth.txt, дополнительный текст будет мешать выполнению нами подтверждения управления вами доменом.

Не помещайте файл fileauth.txt на страницу с множественными переадресациями

При использовании метода практической демонстрации HTTP для проверки домена файл fileauth.txt можно поместить на страницу, на которой имеется не более одной переадресации. При наличии одной переадресации мы все еще способны обнаружить файл fileauth.txt и подтвердить, что вы управляете доменом.

Например, вам требуется сертификат для http://example.com, но страница выполняет переадресацию на https://www.example.com. Это нормально. Поместите файл fileauth.txt на страницу http://example.com. Мы сможем выполнить одну переадресацию и подтвердить ваше управление доменом http://example.com.

Нем не менее, если вы разместите файл fileauth.txt на странице с множественными переадресациями, мы не сможем найти его. Множественные переадресации не позволяют нам определить местонахождение файла fileauth.txt и подтвердить, что вы управляете доменом.

Например, вам требуется сертификат для http://multiple-redirect.com, но страница выполняет переадресацию на https://www.multiple-redirect.com, а затем переадресацию обратно на https://www.single-redirect.com. В данном случае вы должны просто оставить файл fileauth.txt на странице http://multiple-redirect.com. При этом вам необходимо запретить вторую переадресацию (https://www.single-redirect.com) на достаточно продолжительное время, чтобы мы могли найти файл fileauth.txt и подтвердить ваше управление доменом http://multiple-redirect.com.