¿Qué significa Domain Control Validation o DCV?
Métodos de Validación de Dominio
Es el primer paso para poder emitir un certificado SSL: validar la propiedad de los nombres de dominio (FQDNs - Fully Qualified Domain Names) que se incluirán en el certificado.
Para completar este proceso, los dominios deben ser accesibles públicamente. Si no pueden ser alcanzados desde Internet, no podrán ser validados.
El FQDN (nombre de dominio completo) es el nombre del dominio que desea proteger, incluyendo su TLD (Top Level Domain), como por ejemplo ".com.ar", ".com", ".gob.ar", entre otros.
Primero, deberá verificar el CSR . Si la verificación es exitosa, se mostrará la información contenida en el mismo.
Existen 4 métodos disponibles para realizar el DCV (Domain Control Validation), acordados por las principales autoridades certificantes internacionales, responsables de estandarizar estos procesos. Los métodos son:
- Validación por correo electrónico
- Validación mediante archivo de texto en el sitio web (HTTP o HTTPS)
- Validación por registro DNS tipo CNAME
- Validación por registro (Record) DNS TXTNUEVO
No olvide informar al equipo de validacion qué metodo de validación utilizó, tal como indica cada método.
Método 1: Validación por email
Para poder validar un dominio por medio de correo electrónico es necesario que posea o pueda crear una de las casillas de email pre-validadas por la Autoridad Certificante
via su política de certificación homologada.
Siendo “dominioavalidar.tld” el nombre de dominio TLD (Top Level Domain Name) que usted quiera validar.
Las casillas que se pueden utilizar son:
Si no dispone de alguna de estas casillas, puede crearla momentáneamente para realizar la validación y luego, darla de baja.
Haga click aquí para acceder a una herramienta que le muestra que casillas de correo son las pre-validadas y autorizadas para ser utilizadas con este método.
Una vez seleccionada la dirección de correo informe la misma a nuestro equipo de validación al siguiente mail validacion@macroseguridad.net.
Una vez ingresada su orden, Ud. recibirá un correo con el asunto “Domain Control Validation” y deberá ejecutar la acción solicitada en el mismo para validar su dominio.
Siendo “dominioavalidar.tld” el nombre de dominio TLD (Top Level Domain Name) que usted quiera validar.
Las casillas que se pueden utilizar son:
- admin@dominioavalidar.tld
- administrator@dominioavalidar.tld
- postmaster@dominioavalidar.tld
- hostmaster@dominioavalidar.tld
- webmaster@dominioavalidar.tld
Si no dispone de alguna de estas casillas, puede crearla momentáneamente para realizar la validación y luego, darla de baja.
Haga click aquí para acceder a una herramienta que le muestra que casillas de correo son las pre-validadas y autorizadas para ser utilizadas con este método.
Una vez seleccionada la dirección de correo informe la misma a nuestro equipo de validación al siguiente mail validacion@macroseguridad.net.
Una vez ingresada su orden, Ud. recibirá un correo con el asunto “Domain Control Validation” y deberá ejecutar la acción solicitada en el mismo para validar su dominio.
Método 2: Validación por archivo de texto
Si elige el método de validación por medio de la publicación de un archivo de texto debe tener acceso al sistema de archivos del servidor para el cual se emitirá el certificado SSL
o en su defecto mediante el protocolo FTP.
Para la utilización de este método, se requiere que el servidor para el Common Name a validar sea HTTP corriendo en el puerto 80, o HTTPS corriendo en el puerto 443.
Recuerde que desde el 1º de diciembre de 2021, ya no se puede utilizar la validación de archivo de texto para certificados de tipo Wildcard. Haga click aquí para mayor información.
Para empezar, utilice la herramienta para verificar su CSR haciendo click aquí. Una vez que la verificación sea exitosa, debe generar y descargar el archivo de texto para subir en su sitio web vía FTP. Para obtener el archivo, usted debe proveer el dominio a validar, y dos Hashes, el MD5 y el SHA-256, correspondientes a dos algoritmos criptográficos distintos, que se extraen desde el mismo CSR decodificado por Ud. con anterioridad.
Adicionalmente, la autoridad certificante puede proveer de forma aleatoria un valor único que se generará luego de emitida la orden. En ese caso, usted será notificado y recibirá este valor único por parte del equipo de validación de Macroseguridad. Sin embargo, no se requiere esperar a recibir este valor para generar el archivo de texto.
Haga click aquí para acceder a la pantalla que le permitirá crear el archivo que debe subir al directorio raíz del dominio que usted quiere validar. Para esto, requerirá el Common Name correspondiente al servidor donde guardará el archivo, los Hashes provistos por su CSR, y en caso de poseerlo, el valor único.
Una vez generado el archivo de texto, se especificará la ruta en la que debe almacenarlo en su servidor.
En cuanto haya subido el archivo, informe a validacion@macroseguridad.net el Path completo donde quedó publicado, a fin de terminar con el proceso de validación de dominio.
Una vez que el mismo se encuentre publicado y pueda ser accedido desde internet, se podrá validar que usted se encuentra en posesión del dominio.
Recuerde que para validar un Multidominio o Multidimensional usando el método de publicación del archivo de texto, la generación y subida del archivo deberá llevarse a cabo por cada uno de los campos SAN (salvo campos Wildcard) especificados en su certificado, los cuales informó previamente al equipo de validación. Mas información sobre DCV en Certificados Multidominio o Multidimensional aquí.
Esto también impacta al llevar adelante la validación de control de dominio de 'WWW.dominio' y 'dominio'. Anteriormente, al ordenar un certificado incluyendo ambos campos, si usted validaba mediante archivo de texto, probar el control de 'WWW.dominio' alcanzaba para también probar control sobre 'dominio'. Sin embargo, ya no es el caso y deberá crear y subir dos archivos de texto por separado para probar el control de dominio en cada uno de ellos.
Para la utilización de este método, se requiere que el servidor para el Common Name a validar sea HTTP corriendo en el puerto 80, o HTTPS corriendo en el puerto 443.
Recuerde que desde el 1º de diciembre de 2021, ya no se puede utilizar la validación de archivo de texto para certificados de tipo Wildcard. Haga click aquí para mayor información.
Para empezar, utilice la herramienta para verificar su CSR haciendo click aquí. Una vez que la verificación sea exitosa, debe generar y descargar el archivo de texto para subir en su sitio web vía FTP. Para obtener el archivo, usted debe proveer el dominio a validar, y dos Hashes, el MD5 y el SHA-256, correspondientes a dos algoritmos criptográficos distintos, que se extraen desde el mismo CSR decodificado por Ud. con anterioridad.
Adicionalmente, la autoridad certificante puede proveer de forma aleatoria un valor único que se generará luego de emitida la orden. En ese caso, usted será notificado y recibirá este valor único por parte del equipo de validación de Macroseguridad. Sin embargo, no se requiere esperar a recibir este valor para generar el archivo de texto.
Haga click aquí para acceder a la pantalla que le permitirá crear el archivo que debe subir al directorio raíz del dominio que usted quiere validar. Para esto, requerirá el Common Name correspondiente al servidor donde guardará el archivo, los Hashes provistos por su CSR, y en caso de poseerlo, el valor único.
Una vez generado el archivo de texto, se especificará la ruta en la que debe almacenarlo en su servidor.
En cuanto haya subido el archivo, informe a validacion@macroseguridad.net el Path completo donde quedó publicado, a fin de terminar con el proceso de validación de dominio.
Una vez que el mismo se encuentre publicado y pueda ser accedido desde internet, se podrá validar que usted se encuentra en posesión del dominio.
Recuerde que para validar un Multidominio o Multidimensional usando el método de publicación del archivo de texto, la generación y subida del archivo deberá llevarse a cabo por cada uno de los campos SAN (salvo campos Wildcard) especificados en su certificado, los cuales informó previamente al equipo de validación. Mas información sobre DCV en Certificados Multidominio o Multidimensional aquí.
Esto también impacta al llevar adelante la validación de control de dominio de 'WWW.dominio' y 'dominio'. Anteriormente, al ordenar un certificado incluyendo ambos campos, si usted validaba mediante archivo de texto, probar el control de 'WWW.dominio' alcanzaba para también probar control sobre 'dominio'. Sin embargo, ya no es el caso y deberá crear y subir dos archivos de texto por separado para probar el control de dominio en cada uno de ellos.
Método 3: Validación por medio de un registro DNS CNAME
Este método se utiliza si Ud. no cuenta con la posibilidad de utilizar/crear cuentas de correo o si no puede publicar un archivo de texto en su servidor.
DNS corresponde a las siglas en inglés de Domain Name System, es decir, "Sistema de nombres de dominio". Este sistema es básicamente la forma en que un servidor organiza e identifica dominios y subdominios dentro de él. Traduce una dirección web como "www.google.com" en la dirección IP (como por ejemplo "172.217.28.3").
Un registro CNAME (también conocido como nombre canónico) dentro de un DNS enlaza un nombre de alias con un nombre de dominio canónico. Tenga en cuenta que si valida su dominio utilizando este método debe asegurarse que pueda crear un registro del tipo CNAME en la zona DNS del dominio a validar. No se permite utilizar campos TXT, AAAA, A o MX para validar que usted se encuentra en posesión del dominio.
El campo CNAME deberá crearse para un dominio público y obtenible a través de herramientas como nslookup de Windows.
Usted deberá decodificar el CSR a fin de obtener los Hashes correspondientes para poder publicar el registro CNAME. Los mismos le permitirán a usted saber qué valores y de qué forma realizar la publicación del registro CNAME en su zona DNS para realizar la validación de dominio.
Verifique su CSR haciendo click aquí. Una vez decodificado, verá en la misma página la información obtenida, y en la parte inferior, la explicación correspondiente a como proceder según el método elegido. Para el método por registro CNAME, entre al botón que verá en la parte inferior con el mensaje 'Validar por CName'.
Eso lo llevará a la pantalla de generación del campo CNAME. Se encontrará con el formulario ya cargado con sus datos, de modo que pueda generar directamente el CNAME.
Hecho esto, deberá enviarlo junto a su CSR a Macroseguridad.org.
En caso de tener el CSR ya decodificado y los Hashes a su alcance, puede directamente entrar aquí para acceder a la herramienta que le muestra los valores que debe tener en su campo CNAME para validar el o los dominios para los cuales usted va a emitir el certificado, y le permitirá generar el registro correspondiente.
Recuerde que en caso de estar validando múltiples dominios, deberá generar un registro por cada uno de ellos, manteniendo los mismos Hashes en cada caso. Mas información sobre DCV en Certificados Multidominio o Multidimensional aquí.
Una vez creado el registro CNAME informe el path completo creado enviando un mail a validacion@macroseguridad.net para que realicen la validación.
DNS corresponde a las siglas en inglés de Domain Name System, es decir, "Sistema de nombres de dominio". Este sistema es básicamente la forma en que un servidor organiza e identifica dominios y subdominios dentro de él. Traduce una dirección web como "www.google.com" en la dirección IP (como por ejemplo "172.217.28.3").
Un registro CNAME (también conocido como nombre canónico) dentro de un DNS enlaza un nombre de alias con un nombre de dominio canónico. Tenga en cuenta que si valida su dominio utilizando este método debe asegurarse que pueda crear un registro del tipo CNAME en la zona DNS del dominio a validar. No se permite utilizar campos TXT, AAAA, A o MX para validar que usted se encuentra en posesión del dominio.
El campo CNAME deberá crearse para un dominio público y obtenible a través de herramientas como nslookup de Windows.
Usted deberá decodificar el CSR a fin de obtener los Hashes correspondientes para poder publicar el registro CNAME. Los mismos le permitirán a usted saber qué valores y de qué forma realizar la publicación del registro CNAME en su zona DNS para realizar la validación de dominio.
Verifique su CSR haciendo click aquí. Una vez decodificado, verá en la misma página la información obtenida, y en la parte inferior, la explicación correspondiente a como proceder según el método elegido. Para el método por registro CNAME, entre al botón que verá en la parte inferior con el mensaje 'Validar por CName'.
Eso lo llevará a la pantalla de generación del campo CNAME. Se encontrará con el formulario ya cargado con sus datos, de modo que pueda generar directamente el CNAME.
Hecho esto, deberá enviarlo junto a su CSR a Macroseguridad.org.
En caso de tener el CSR ya decodificado y los Hashes a su alcance, puede directamente entrar aquí para acceder a la herramienta que le muestra los valores que debe tener en su campo CNAME para validar el o los dominios para los cuales usted va a emitir el certificado, y le permitirá generar el registro correspondiente.
Recuerde que en caso de estar validando múltiples dominios, deberá generar un registro por cada uno de ellos, manteniendo los mismos Hashes en cada caso. Mas información sobre DCV en Certificados Multidominio o Multidimensional aquí.
Una vez creado el registro CNAME informe el path completo creado enviando un mail a validacion@macroseguridad.net para que realicen la validación.
Método 4: Validación por registro (record) DNS TXT NUEVO
La validación por DNS TXT es un método alternativo para demostrar que usted tiene control sobre el dominio para el cual se desea emitir un certificado SSL.
Procedimiento:
Consideraciones importantes:
Una vez publicado el registro DNS y propagado correctamente, Sectigo podrá validar el dominio y continuar con la emisión del certificado.
Procedimiento:
- Sectigo le proporcionará un valor aleatorio denominado randomValue.
- Usted deberá crear un registro DNS de tipo TXT en su dominio.
- El registro (record) DNS TXT debe tener esta estructura:
_pki-validation.su-dominio. TXT "randomValue"
Consideraciones importantes:
- El valor
randomValuees único para cada orden de certificado. Esto lo estipula la autoridad certificante. - El mismo tiene una validez de 30 días desde su emisión.
- Este método no requiere acceso al servidor ni a direcciones de correo electrónico asociadas al dominio.
Una vez publicado el registro DNS y propagado correctamente, Sectigo podrá validar el dominio y continuar con la emisión del certificado.