Hauptbereich
Änderungen im Domänenprüfverfahren
Sehr geehrte Kunden und Partner
Gerne möchten wir Sie auf eine Umstellung im Verfahren zur Freischaltung von Domänen hinweisen. Am 2. Februar 2018 hat das CA/Browser Forum mit Ballot 218 beschlossen, dass ab dem 1. August 2018 die Domänenvalidierung nicht mehr mittels WHOIS-Register Prüfung durchgeführt werden darf. Sämtliche ab dem 1. August 2018 ausgestellten SSL Zertifikate müssen auf einem technischen Domänenvalidierungsverfahren beruhen. Aus diesem Grund müssen Managed PKI Kunden bereits bei SwissSign registrierte Domänen bis zu diesem Zeitpunkt re-validieren.
Um die Anforderungen des CA/Browser Forum zu erfüllen, wird SwissSign per 30. Juni 2018 bei sämtlichen SSL-Zertifikatsanträgen die automatische Domänenvalidierung aktivieren. Um Ihren Zugriff auf die Domänen zu prüfen, muss der von unserem System generierte Zufallswert/Geheimnis (weiter unten als <random value> referenziert) an einer der drei folgenden Stellen auf der Webseite Ihrer Domain hinterlegt werden:
- TXT Check* In einer Textdatei unter dem Pfad: <domain>/.well-known/pki-validation/swisssign-check.txt Der Inhalt der Text-Datei muss wie folgt formatiert sein: <random value>
- DNS Eintrag Als TXT Eintrag im DNS der Domäne: Der Inhalt muss wie folgt formatiert sein: "swisssign-check=<random value>"
*Bitte beachten Sie, dass für diese Verfahren keine Weiterleitungen erlaubt sind.
Die spitzen Klammern <> beim <random value> dienen nur zur Illustration und müssen weggelassen werden.
Mit dem Release 4.12 (26.05.2018) wird das Managed PKI Tool zur Domänenverifikation verbessert. MPKI Kunden sehen dort neu auf einen Blick alle freigeschalteten Domänen und deren Validierungsstatus.
Im Rahmen der beschriebenen automatischen Verfahren prüft das System 30 Tage lang, ob der Zufallswert an einer der drei oben erwähnten Stellen hinterlegt wurde. Sobald eine der drei Prüfungen erfolgreich ist, wird die Domäne automatisch freigeschaltet. Für noch nicht validierte Domänen kann die Validierung vom Kunden direkt ausgelöst werden. SwissSign wird im Juni 2018 für alle noch ausstehenden Domänen die Validierung anstossen. Kunden können dann die generierten Zufallswerte via CSV Datei exportieren und hinterlegen.
Für Sie als SwissSign Managed PKI-Kunde gibt es folgende Änderungen zu berücksichtigen:
Erstmalige Prüfung
Neue Domänen können nur noch mit einem der oben beschriebenen Verfahren eingetragen werden. Bereits eingetragene Domänen müssen bis zum 30. Juli 2018 mit einem der oben beschriebenen Verfahren validiert werden. Domänen, die bis zum 31. Juli 2018 nicht gemäss obigen Angaben validiert wurden, müssen aus regulatorischen Gründen per 1. August 2018 von SwissSign aus dem entsprechenden MPKI Setup entfernt werden. Ausgenommen von dieser Regelung sind nur Kunden, welche ausschliesslich S/MIME Zertifikate beziehen.
Wiederkehrende Prüfungen
Bitte beachten Sie, dass die automatische Domänenvalidierung beim Einsatz von EV SSL Zertifikaten jeweils nach 13 Monaten und bei Domänen- und Organisationsvalidierten SSL Zertifikaten jeweils nach 24 Monate wiederholt werden muss.
Weitere Informationen zum CA/Browser Forum Ballot 218 finden Sie hier.
Bei Fragen stehen wir Ihnen gerne per E-Mail [email protected] zur Verfügung.
Mit freundlichen Grüssen
Ihr SwissSign-Team