Wenn Sie ein SSL-Zertifikat bestellen, wird vom Aussteller geprüft, dass die Bestellung von einem berechtigten Domainverantwortlichen gewünscht wird. Die Domaininhaberschaft kann auf verschiedene Weisen nachgewiesen werden. Welche Validierungs-Möglichkeiten für SSL-Zertifikate zur Verfügung stehen und wie der Ausstellungsprozess abläuft, erklärt dieser Artikel.
Allgemeines:
- Eine Überprüfung (Validierung) der SSL-Zertifikats-Bestellung ist zwingend notwendig, da Sie damit nachweisen, der rechtmäßige Eigentümer der zu zertifizierenden Domain zu sein. So wird verhindert, dass unberechtigte Dritte ein gültiges Zertifikat für eine Domain erhalten.
- Für alle Zertifikate wird über ein weitgehend automatisiertes Verfahren geprüft, ob der Domainverantwortliche der Ausstellung zustimmt. In vielen Fällen führen wir die Validierung für Sie durch und binden das SSL-Zertifikat auch im KIS für Sie ein.
Bei organisations-geprüften Zertifikaten wird im Anschluss daran zusätzlich die Identität (Name, Firmierung) durch manuelle Prüfungen durch den Aussteller verifiziert.
Eine Validierung ist im Normalfall pro Kunde und Domain einmal alle 12 Monate notwendig. Wird in diesem Zeitraum eine Verlängerung oder Neubestellung ausgelöst, entfällt in der Regel dieser Schritt.
Automatisch oder manuell: Muss ich selbst validieren?
In den folgenden Fällen führen wir Validierung für Sie durch:
- Es wird ein Domain SSL bestellt und verlängert, bei allen anderen Zertifikats-Typen (z.B. "Organisation SSL") validieren wir nicht automatisch.
- Die Nameserver werden von uns verwaltet, d.h. Sie nehmen alle Nameserver-Einstellungen im KIS vor; wenn Sie Ihren Server als Primary Nameserver verwenden oder externe Nameserver einsetzen, validieren wir nicht automatisch.
- Die Domain wird im selben Kundenkonto verwaltet, in dem die SSL-Bestellung oder -Verlängerung erfolgt.
Wenn Sie unser Classic Webhosting einsetzen, binden wir das SSL-Zertifikat in den meisten Fällen auch für Sie ein. Näheres erfahren Sie unter Wie binde ich ein SSL-Zertifikat im Webhosting ein?
Wie die Validierung funktioniert, wenn diese von Ihnen selbst durchgeführt werden muss, erfahren Sie hier:
Wie funktioniert die Validierung?
Hierzu bieten wir Ihnen zwei Validierungs-Möglichkeiten an, von denen Sie allerdings nur EINE durchlaufen müssen. Eine Auswahl bei der Bestellung erfolgt nicht, Sie können jederzeit frei wählen, welchen Weg Sie nutzen möchten:
-
-
- Ein Link in einer E-Mail an eine feste Liste von Adressen wird aufgerufen.
- Es wird ein DNS-Record (TXT) für die Domain erzeugt, der einen übermittelter Text (Code) enthält.
-
Erklärung der Validierungs-Möglichkeiten im Einzelnen:
E-Mail:
Bei der Bestellung werden Mails an eine feste Liste von Empfängern geschickt:
- admin@ihredomain.tld
- administrator@ihredomain.tld
- hostmaster@ihredomain.tld
- postmaster@ihredomain.tld
- webmaster@ihredomain.tld
Dort ist ein Link enthalten, der Sie auf eine Webseite des Ausstellers führt. Dort bestätigen Sie einfach, dass Sie der Ausstellung zustimmen. Wenn Sie eine oder mehrere Subdomains mit absichern wollen, reicht die einmalige Validierung der Hauptdomain aus.
Es müssen genau diese Adressen verfügbar sein oder gemacht werden.
Bitte stellen Sie vor Abschluss Ihrer SSL-Bestellung sicher, dass mindestens eine dieser E-Mail-Adressen existiert und Sie auf diese zugreifen können. Ein erneuter Versand dieser Mails kann leider derzeit nicht durch uns oder Sie veranlasst werden. Sollten die Adressen nicht bei Bestellung verfügbar gewesen sein, können Sie entweder die Bestellung stornieren und neu einreichen oder die Validierung per DNS-Record (s.u.) durchführen.
Diese Mailadressen nutzen immer die Hauptdomain, selbst wenn Sie für eine Subdomain bestellt haben sollten.
- Absender dieser Mails ist "donotreply@starfieldtech.com".
- Der Betreff lautet "SSL-Bestellung: Validierung des Domaininhabers (Link-Validierung)".
Bitte prüfen Sie ggf. auch Ihren Spamordner, falls Sie glauben, die Mail erhalten haben zu müssen, dies aber nicht passiert zu sein scheint.
HTML-Seite:
Die Validierung per HTML-Seite ist seit dem 01.12.2021 nicht mehr verfügbar. Bitte nutzen Sie stattdessen die anderen hier beschriebenen Validierungsmöglichkeiten.
DNS-Record:
Die bei der Bestellung im KIS angegebene Empfängeradresse erhält per Mail einen Code zugesendet, der für die Prüfung verwendet werden muss:
- Absender dieser Mails ist "donotreply@starfieldtech.com"
- Der Betreff lautet "SSL-Bestellung: Validierung des Domaininhabers (DNS-Validierung)"
- Darin enthalten ist folgende Textzeile: Ihre eindeutige ID für die im folgenden vorgestellten Methoden <ID>
Sobald Sie die entsprechende E-Mail mit der eindeutigen Kennung (ID) erhalten haben, können Sie diese nutzen, um die Domain per DNS zu verifizieren. Das geht so:
WebHosting:
- Gehen Sie ins KIS.
- Navigieren Sie zu "Domainservices -> Domain-Administration -> Nameserver- / DNS-Einträge bearbeiten"
- Klicken Sie bei der passenden Domain auf "Editieren"
- Finden Sie unter der Tabelle "DNS-Einträge" die Zeile mit dem Button "Neu anlegen"
- Wählen Sie dort "TXT" aus
- Das vordere Feld bleibt leer. (Hinweis: Bei der Beauftragung eines SSL-Zertifikats für eine Subdomain, erstellen Sie dennoch den genannten DNS-Record für die Hauptdomain.)
- Tragen Sie die ID aus der E-Mail in das hintere Feld ein und klicken Sie auf "Neu anlegen"
- Bestätigen Sie ggf. die Frage "Möchten Sie den Eintrag wirklich schreiben lassen?" mit "Ja".
- Warten Sie einige Minuten. Der Aussteller ruft diese Adresse in unregelmäßigen Abständen automatisch ab und bestätigt die Prüfung, sobald dies funktioniert hat.
- Sie können die Prüfung auch selbst im KIS anstoßen (Schaltfläche "Validierung anstoßen" unter "SSL") und dort direkt eine Meldung über deren Erfolg einsehen.
Selbstadministriertes System (z.B. Virtual Server:)
- Die DNS-Einstellungen können Sie in Plesk vornehmen.
- Sie können die Prüfung auch selbst im KIS anstoßen (Schaltfläche "Validierung anstoßen" unter "SSL") und dort direkt eine Meldung über deren Erfolg einsehen.
Der Aussteller ruft diese Adresse in unregelmäßigen Abständen automatisch ab und bestätigt die Prüfung, sobald dies funktioniert hat. Sie können die Prüfung auch selbst im KIS anstoßen (Schaltfläche "Validierung anstoßen" unter "SSL") und dort direkt eine Meldung über deren Erfolg einsehen.
Sobald eine dieser Prüfungen abgeschlossen wurde, kommt es in Ausnahmefällen noch zu Prüfungen durch den Aussteller, normalerweise ist aber der Vorgang dann abgeschlossen und das Zertifikat wird in wenigen Minuten ausgestellt.
Wenn Sie eine Hauptdomain mit einer oder mehreren Subdomains absichern wollen, reicht die einmalige Validierung der Hauptdomain aus.
Wie funktionieren die zusätzlichen manuelle Prüfungen bei organisations-geprüften Zertifikaten?:
Bei organisations-geprüften Zertifikaten (Organisation SSL, Organisation SSL Wildcard und Extended SSL) erfolgt nach Abschluss der o.a. Schritte die weitere Prüfung durch den Aussteller. Dazu werden ggf. Unterlagen angefordert und in jedem Fall ein abschließendes Telefongespräch durchgeführt. Derzeit sind Mails und telefonische Kontakte nur in englischer Sprache möglich!
Absender dieser Mails ist "donotreply@secureserver.net
". Telefonanrufe können von einer US-Telefonnummer (+1-..) oder einer deutschen Nummer (089-..) erfolgen.
Bitte beachten Sie, dass die Prüfungen recht aufwändig sind und längere Zeit in Anspruch nehmen können. Bei Organisation SSL und Extended SSL gehen wir derzeit von bis zu 2 Wochen Bearbeitungszeit aus.
Leider gibt es derzeit noch keine Möglichkeit, den Ausstellsstatus online einzusehen, so dass Sie im Problemfall eine Supportanfrage an uns richten müssten.
Was ist nach der Ausstellung des SSL-Zertifikats zu tun?
Wenn das SSL-Zertifikat ausgestellt ist, muss es noch im entsprechenden Produkt eingebunden werden:
- WebHosting
- Server mit Plesk
- Server mit cPanel
- Server ohne Plesk/cPanel mit Linux-Betriebssystem
- Server ohne Plesk/cPanel mit Windows