Geänderte FILE Verifizierung von Domains
(26. 11. 2021) Aufgrund der Entscheidung des CAB Forums ist es zu einer Änderung in der FILE Verifizierung gekommen. Die Datei FILEAUTH.TXT eingespielte auf FTP der übergeordneten Domain wird die Subdomain nicht mehr verifizieren; es müssen alle in dem Zertifikat angegebenen Namen separat verifiziert werden. Weiter ist die FILE Verifizierung nicht mehr für Wildcard Domains zulässig.
Die Datei auf FTP muss neu für alle Domains eingestellt werden, die in der Zertifikatsbestellung enthalten sind. Falls das Zertifikat für zoner.com bestellt ist und soll zusammen mit dieser Domain auch www.zoner.com absichern, muss der FILEAUTH String für beide Namen eingestellt werden, also sowohl für zoner.com als auch für www.zoner.com.
Beispiel der Verifizierung über die Methode FILE
Neu reicht es nicht mehr aus, nur die Domain des höheren Niveaus (die übergeordnete) zu verifizieren, Sie müssen alle Formen der Domain verifizieren, die in der Bestellung enthalten sind (die Form mit www muss also auch separat verifiziert werden).
Beispiel der Verifizierung von SANs im Zertifikat | Verifizierungsdatei platzierte auf | Zugelassen für Zertifikate vor dem 16. 11. 2021 | Zugelassen für Zertifikate ausgestellte nach dem 16. 11. 2021 |
sslmarket.com | sslmarket.com | Ja | Ja |
sub.sslmarket.com | sub.example.com | Ja | Ja |
sub.sslmarket.com | sslmarket.com | Ja | Nein |
*.sslmarket.com | sslmarket.com | Ja | Nein |
www.sslmarket.com | sslmarket.com | Ja | Nein |
www.sub.sslmarket.com | sub.sslmarket.com | Ja | Nein |
Achtung: Bei den DV-Zertifikaten reicht Ihnen für alle SANs nur ein String aus; diesen finden Sie in der Bestellung. Bei den OV- und EV-Zertifikaten erhalten Sie jedoch für jede Subdomain einen unikalen String.
Sind Sie nicht sicher, wie die Domain verifiziert werden soll?
Falls Ihnen etwas unklar ist, oder falls Ihnen scheint, dass die Verifizierung nicht richtig abläuft, zögern Sie nicht und kontaktieren Sie uns. Da diese alternative Validierung mehr arbeitsaufwändig ist, empfehlen wir Ihnen, eher die DNS-Verifizierung zu nutzen.