Alternative Validierung der Domain: per Datei fileauth.txt

20.03.2019 | Petra Alm

Wie soll die Verifizierungsdatei für die Validierung der Domain richtig erstellt und eingespielt werden? Die Validierung per die Datei auf FTP wird bei dem beantragten Zertifikat bei allen Domains durchgeführt, die in der Bestellung des Zertifikats aufgenommen sind. Die Verifizierung wird ausschließlich von Automaten durchgeführt und deshalb muss ihnen bei den eventuellen Problemen mit der Überprüfung entgegengekommen werden.

Das Web funktioniert auf einer Domain ohne WWW

In diesem Fall wird der Domainname in der Basisform überprüft und das ist einfach. Sie brauchen nur die Verifizierungsdatei in den Order /.well-known/pki-validation/ auf FTP der zu zertifizierenden Domain einzuspielen. Somit wird sie auf der Adresse http://sslmarket.de/.well-known/pki-validation/fileauth.txt (nur ein Beispiel) auffindbar und die Zertifizierungsstelle wird sie umgehend überprüfen können.

Die Webseite kann sowohl über HTTP als auch HTTPS laufen, unter der Voraussetzung, dass die Verbindung vertrauenswürdig ist.

Das Web wird auf den Namen mit WWW umgeleitet

Webseiten werden oft zusammen mit WWW am Anfang erstellt und aufgerufen und viele Verwalter von Webservern leiten die Besucher auf www.sslmarket.de von dem "bloßen" Namen der Domain sslmarket.de um. Diese Umleitung führt jedoch zur Kollision bei der Verifizierung per die Datei.

Warum entsteht die Kollision? Die Zertifizierungsstellen sind mit gemeinsamen Regeln dazu verpflichtet, die Domain in der Grundform zu überprüfen. Es ist nicht möglich, die Domain sslmarket.de über die Subdomain www.sslmarket.de zu validieren, weil es sich um einen anderen DNS-Namen (FQDN) handelt. In solchem Fall wird auf eine selbständige Verifizierung der bloßen Domain gewartet. Manuelle Überprüfung und Verifizierung sind nicht möglich, im Gegenteil sind sie verboten.

Die Konfiguration des Webs und Umleitung müssen Sie nicht ändern oder aufheben, denn die Verifizierungsdatei lässt sich aus der Umleitung herausnehmen. Die Regel in der Datei htaccess, die auf dem meist verbreiteten Webserver Apache genutzt wird, sieht zusammen mit der Umleitung folgendermaßen aus:

RewriteEngine On 
RewriteCond %{REQUEST_URI} !^/.well-known/pki-validation/fileauth.txt
RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} !^www. [NC]
RewriteCond %{HTTP_HOST} ^(?:www.)?(.+)$ [NC]
RewriteRule ^ https://www.%1%{REQUEST_URI} [L,NE,R=301]

Mit dieser Regel funktioniert die Umleitung des ganzen Webs auf https://www.sslmarket.de auch weiterhin, aber auf die Verifizierungsdatei bezieht sie sich nicht und diese ist auf http://sslmarket.de/.well-known/pki-validation/fileauth.txt erreichbar. Die Validierung erfolgt dann schnell und reibungslos.

Mögliche Komplikationen bei der Verifizierung per die Datei

Auch bei dieser einfachen Verifizierungsmethode können Probleme auftauchen, diese werden aber immer vonseiten des Servers verursacht. Typischerweise, wenn der Server auf einem nicht spezifischen Port läuft. Die Zertifizierungsstelle überprüft die Datei fileauth.txt auf den Standard-Ports 80 und 443; es ist nicht möglich, andere ausnutzen. Sollte dies ein Problem darstellen, empfehlen wir Ihnen als Verifizierungsmethode einen DNS-Eintrag auszuwählen.

Die zweite Ursache kann in einem nicht vertrauenswürdigen Zertifikat auf dem Web liegen. Falls der Verifizierungsroboter der Zertifizierungsstelle auf HTTPS umgeleitet wird und auf ein nicht vertrauenswürdiges Zertifikat stoßt, wird für ihn dies ein unüberwindbares Problem bedeuten. Die Gründe können verschieden sein – abgelaufene Laufzeit, nicht vertrauenswürdige CA, Einsetzung auf eine falsche Domain… In solchen Fällen ist es ratsam, HTTPS für eine ganz kurze Zeit auszuschalten, oder die obige Regel für die Ausschließung der Datei aus der Umleitung anzuwenden. Immer können Sie auch die Verifizierung über einen DNS-Eintrag vornehmen, welche den ganzen Prozess in keiner Hinsicht verlangsamen wird.

… der Kundensupport steht Ihnen gerne zur Verfügung

Die obigen Ratschläge helfen Ihnen damit, die Verifizierung der Domain mit der Datei fileauth.txt ohne jegliche Komplikationen abzuschließen. Jederzeit können Sie sich aber auch auf den Kundensupport von SSLmarket verlassen.


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de