WHOIS je pro ověření certifikátů mrtvý, doporučujeme alternativy

15. 8. 2018 | Jindřich Zechmeister

Certifikační autority vyřadily z možností pro ověření kontrolu dle WHOIS. Ten je pro ověření certifikátů po začátku účinnosti GDPR nepoužitelný, protože e-mailové adresy jsou skryté. Doporučujeme přejít na spolehlivější alternativní ověření certifikátů.

Domény pro certifikát už není možné ověřit manuálně

Pravidla pro vydávání certifikátů jsou uvedeny v dokumentu Baseline requirements, který jsme v našem magazínu už mnohokrát citovali. Do 1.8.2018 bylo možné domény použité v certifikátu ověřit manuálně "pohledem" do WHOIS. Další možností ověření byl tzv. "legal opinion letter", tedy dokument podepsaný advokátem nebo notářem. Tyto možnosti byly odstraněny. Už v roce 2016 byla zrušena možnost ověření "jiným způsobem", což certifikačním autoritám dávalo zvláštní volnost při rozhodování.

Důvodem k tomuto kroku je jistě snaha o dosažení vyšší bezpečnosti ověření, ale zcela jistě také fakt, že informace o vlastníkovi ve WHOIS už není možné najít v požadovaném rozsahu.

Co se stalo s kontakty ve WHOIS?

Čtenářům našeho magazínu jistě neuniklo téma evropského nařízení GDPR a květnového začátku jeho účinnosti. V souvislosti s ním byly redukovány všechny dostupné informace (často osobní údaje) uživatelů různých služeb (dle litery Nařízení subjektů údajů). U zaregistrovaných domén se to projevilo zejména anonymizací či skrytím osobních údajů včetně e-mailové adresy majitele domény.

Ze dne na den tak prakticky přestalo být možné ověřovat certifikáty přes e-mail majitele domény. Například správce CZ domény sdružení NIC.CZ schoval všechny osobní údaje kontaktů u domén. E-mail tak neuvidíte a museli byste si ho ručně zveřejnit. Ostatní správci TLD buď údaje skryli, nebo je anonymizovali a v důsledku způsobili jejich nefunkčnost pro ověření. U některých TLD jako je EU doména nebylo nikdy možné automaticky načíst e-mail vlastníka domény, protože je schován za tzv. Captcha ochranou.

Pro ověření domény pomocí e-mailu tak bylo možné využít pouze pět schránek na ověřované doméně. Na ty CA automaticky posílá ověřovací e-mail a předpokládá, že by nějaká z nich mohla existovat.

Jedná se o dobře známé schránky:

Posílání e-mailů na předpokládané a mnohdy neexistující e-maily není efektivní, jak jistě uznáte sami. Proto doporučujeme rychlejší a přímočařejší postup pomocí alternativního ověření.

Ověření pomocí alternativního ověření

Z výše uvedených argumentů vyplývá, že použití WHOIS pro ověření certifikátu je nevhodné. Obecně ověření e-mailem je problematické; kontakty u domén jsou skryté a e-maily často nemusí dorazit. Z vlastní zkušenosti doporučujeme ověření pomocí DNS záznamu nebo souboru na FTP, které je zaručené a v mnoha případech výrazně jednodušší a rychlejší.

Údaje pro nastavení najdete v zákaznické administraci a také je obdržíte e-mailem. Autorita v pravidelných a krátkých intervalech kontroluje DNS záznam nebo přítomnost souboru na FTP. Alternativní ověření může být dokončeno již za několik minut. 

Údaj pro ověření, tzv. random string, můžete použít pro obě metody ověření - je stejný.

Ověření pomocí DNS záznamu

Pro DNS ověření domény je nutné vytvořit DNS záznam typu TXT u ověřované domény. V zásadě se jedná o nastavení unikátního textu v TXT záznamu k subdoméně _dnsauth.

Příklad DNS záznamu pro DNS ověření domény:

_dnsauth.sslmarket.cz. 3600 IN TXT pyzm2vngxyfgwbh5d04n7j9nl4zrp51v

Autorita bude následně v pravidelných intervalech kontrolovat TXT záznam v DNS domény. Pokud bude TXT záznam v pořádku, automaticky objednávku certifikátu potvrdí a automaticky vystaví. Nebude již třeba čekat na potvrzující e-mail.

Ověření pomocí ověřovacího souboru

Soubor, který je třeba pro ověření použít, najdete ke stažení v detailu objednávky SSL/TLS certifikátu. Soubor fileauth.txt (prostý text) nahrajte do složky /.well-known/pki-validation/ (na FTP domény). Zkontrolujte, zdali je soubor přístupný pro návštěvníka (zvenčí) a neomezuje ho například soubor .htaccess.

Ověřovací soubor tedy musí být dostupný například na URL:

http(s)://www.nazev-domeny.cz/.well-known/pki-validation/fileauth.txt.

Ověření domén nemusíte dělat pokaždé

Ověření domén v certifikátu je nutné provést u každé objednávky DV certifikátu, protože u toho se jedná o autorizaci vydání certifikátu. Pokud však používáte OV certifikáty s ověřením organizace nebo EV certifikáty se zeleným řádkem, tak u nich stačí provést ověření jednou a certifikační autorita si ho bude pamatovat. Navazující prodloužení nebo nové certifikáty pro stejnou doménu budou ověřené automaticky a ihned.

V případě potřeby pomoci při ověření domény se neváhejte obrátit na naši zákaznickou podporu. Jsme největší prodejce SSL/TLS certifikátů ve střední Evropě a naše prvotřídní podpora vám ráda s čímkoliv pomůže.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz