Kontaktieren Sie uns: 089 - 954571 38 | info@sslmarket.de

Magazin über die Internetsicherheit

Blog über die SSL/TLS-Zertifikate und Zertifizierungsstellen, für Sie von Experten aus SSLmarket.de vorbereitet

Alternative Validierung der Domain: per einen DNS-Eintrag

(17.6.2019) Die Verifizierung per einen DNS-Eintrag betrifft alles Domains, die in der Bestellung des Zertifikats aufgeführt sind. Die Verifizierung wird ausschließlich vonseiten eines Automaten durchgeführt und deshalb müssen die aufgestellten Regeln eingehalten werden. Und eben diesen ist der folgende Artikel gewidmet.

Was ist ein DNS-Eintrag?

Der DNS-Eintrag stellt die Funktionalität der Domain sicher, wir können ihn uns als die Basis-Information der Domain vorstellen. Er sorgt für Weiterleitung von Domains und Subdomains auf die entsprechenden Server; ohne DNS müssten wir uns die IP-Adressen merken. Zum Beispiel anstatt von sslmarket.de müssten Sie in den Browser 217.198.113.27 einschreiben, was ziemlich unpraktisch wäre.

Dieses Domainnamen-System steht Ihnen bei jedem Domainregistrator zur Verfügung und ist einfach zu editieren, siehe den nächsten Absatz. Es gibt mehrere Typen der DNS-Einträge, die zu verschiedenen Zwecken dienen. Uns interessiert aber der Typ TXT, welcher verschiedene Informationen in der Textform ergänzt.

Einstellung des DNS-Eintrags und seine Form

Einen DNS-Eintrag vom Typ TXT können Sie über die Editierung der DNS-Einträge bei Ihrem Registrator einstellen. Es ist gut zu wissen, dass bei Registratoren die Hauptdomain nach zwei Prinzipien eingetragen werden kann. Entweder geben Sie in der Quelle die ganze Domain und den ganzen Eintrag an (zum Beispiel etwas.domain.de), oder Sie geben die Hauptdomain nicht an und anstatt dieser werden die Subdomain oder das Zeichen @ genutzt („etwas“ oder @ anstatt der Domain in Grundform).

Beachten Sie bitte, dass der Text für die Überprüfung (sog. Randomstring) nicht in Anführungszeichen gehört - diese werden für die Verifizierung nicht genutzt.

Den TXT-Eintrag für die Verifizierung (Randomstring) allein stellen Sie auf die Subdomain _dnsauth. ein. Dadurch wird Kollisionen mit anderen DNS-Einträgen verhindert und die Verifizierung wird reibungslos erfolgen. < style="text-decoration: line-through;">Dieser Eintrag sieht dann folgendermaßen aus:

Nach der Einstellung des DNS-Eintrages wird dieser aktualisiert und in ein paar Minuten einsehbar. Die Zertifizierungsstelle ruft den DNS-Server, welcher zu der Domain zugeordnet ist, in kurzen Zeitabschnitten auf und den neuen Eintrag sieht sie somit ohne Verzug. Auf keinen Fall brauchen Sie auf die Erweiterung der DNS-Einträge wie bei üblichen Anpassungen der Domain zu warten.

Ausnahmen, die Sie kennen sollten

Für die Nutzung des DNS-Eintrags gibt es ein paar Ausnahmen. Die erste von ihnen betrifft die OV- und EV-Zertifikate von DigiCert, bei welchen der DNS-Eintrag direkt für die Hauptdomain eingestellt werden muss (also ohne das Präfix _dnsauth). Sonst wird es zu der Verifizierung nicht kommen.

Diese Ausnahme brauchen Sie sich natürlich nicht zu merken. Nutzen Sie einfach den im SSLmarket angezeigten Eintrag im Detail der gegebenen Domain.

Bei den OV- und EV-Zertifikaten von DigiCert gilt weiter auch, dass die Zeichenkette, der Randomstring für ihre Überprüfung in der Verwaltung nicht automatisch angezeigt wird. Falls Sie also die Domain in einem OV- oder EV-Zertifikat über DNS überprüfen lassen möchten, fragen Sie uns nach dem richtigen Eintrag für die Verifizierung.

Überprüfung des DNS-Eintrages

Ob Sie den neuen DNS-Eintrag richtig erstellt haben, können Sie mit vielen Methoden testen. Für die Mehrheit der Nutzer ist die einfachste Methode online, mit Diensten wie Dig (DNSlookup) von Google, oder Dig web interface, die neben der DNS-Überprüfung auch weitere, mehr fortgeschrittene Funktionen anbieten. Diese Webtools werden Ihnen das Ergebnis augenblicklich nach der Anfrage anzeigen.

Falls Sie Linux, Unix oder MacOS nutzen, können Sie das Programm Dig probieren. Es wird in dem Terminal einfach über den Befehl dig A domain.de aufgerufen, dem Befehl dig folgt die Konkretisierung, was für einen DNS-Eintrag Sie sehe möchten, also ob A, CNAME, TXT, MX, usw.

Nach der Aktivierung des Befehles erhalten Sie gleich die Antwort:

;; ANSWER SECTION: domain.de. 158 IN A 77.75.79.53 
;; Query time: 2 msec 
;; SERVER: 127.0.0.53#53(127.0.0.53) 
;; WHEN: Thu Jan 31 09:11:02 CET 2019 
;; MSG SIZE rcvd: 54

Wenn Sie einen neu eingestellten TXT-Eintrag überprüfen, dann sehen Sie rechts den Text für die Verifizierung – den Randomstring. Die Anführungszeichen werden nur in der Antwort angezeigt und stellen keinen Teil des Eintrages dar.

;; ANSWER SECTION: _dnsauth.domain.de. 3600 IN TXT "drvkpmgxlgn0y3s7mg7qnjd1ymhjyvqd"

Bei Schwierigkeiten kontaktieren Sie den Kundensupport

In Ausnahmefällen kann es zur Kollision zwischen den Einträgen oder zu einem anderen Problem kommen, wegen welches die Verifizierung nicht abgeschlossen werden muss. Wir empfehlen Ihnen, 1-2 Stunden zu warten und falls das Zertifikat nicht verifiziert und ausgestellt wird, den Kundensupport zu kontaktieren.

SSLmarket.de
Anbieter von vertrauenswürdigen SSL-Zertifikaten
Symantec Platinum Partner
E-Mail: info(at)sslmarket.de