Certificado SSL validado por dominio

Los certificados de Validación de Dominio (DV) son certificados SSL que se pueden obtener de manera muy fácil y rápida. Gracias a la verificación simple y la automatización completa, es posible obtener un nuevo certificado en minutos y tener un sitio web seguro en un abrir y cerrar de ojos.
Aunque los certificados SSL de dominio son muy económicos, garantizan una comunicación https de calidad sin ningún problema.

Cómo funciona la validación de dominio

Después de ordenar, insertar la solicitud de certificado (CSR) y realizar el pago, se solicita el certificado SSL a la autoridad de certificación, que envía de inmediato un correo electrónico de validación. Después de su confirmación, la autoridad emite el certificado. La validación también se puede realizar mediante FTP o DNS (ver abajo).

El pedido

Después de ordenar el certificado SSL y realizar el pago, el sistema verifica el pedido y, si todo está bien, el certificado se solicita automáticamente a la autoridad de certificación. El pedido de un certificado a la autoridad se anuncia por correo electrónico y el pedido recibirá el estado: PENDIENTE

Si has recibido una confirmación de pago, pero el pedido todavía está en estado de pago y el pedido no se ha enviado a la autoridad de certificación, verifica que se haya enviado la solicitud de certificado. Alternativamente, simplemente genera una solicitud de certificado (CSR).

Verificación por una Autoridad de Certificación

La validación del solicitante del certificado la realiza la Autoridad de Certificación, es decir, envía un correo electrónico de validación, emite y envía el certificado.

Validación por correo electrónico:

La forma más fácil de validar es verificar el dominio utilizando un correo electrónico enviado a una dirección preseleccionada, donde el propietario o administrador del dominio hace clic en el enlace, donde luego confirman la solicitud de certificado "Aprobar". Después de eso, el certificado se emite casi de inmediato.

Buzones a los que se puede enviar un correo electrónico de validación:

• admin@example.net
• administrator@example.net
• webmaster@example.net
• hostmaster@example.net
• postmaster@example.net

Los correos electrónicos ofrecidos están configurados de acuerdo con las reglas del foro CAB. El correo electrónico de validación debe estar creado y ser funcional. Si no tienes uno de estos correos electrónicos, debes crearlo y configurarlo como un alias para un correo electrónico de la empresa, por ejemplo.

Ejemplo de correo electrónico de validación de CA Sectigo:

¿Qué hacer si el correo electrónico de validación no llega?

El correo electrónico de validación se envía directamente a la autoridad de certificación inmediatamente después de ordenar el certificado a la autoridad (CA Sectigo envía un correo electrónico desde noreply_support@comodo.com). La dirección de correo electrónico puede que no esté disponible todavía o que necesites cambiarla a otra de los 4 correos electrónicos. También pueden fallar la configuración de reenvío de correo electrónico o el correo electrónico no se puede entregar debido a una política de protección contra el correo no deseado estricta.

El correo electrónico de validación se puede reenviar en cualquier momento antes de que se emita el certificado. El reenvío se realiza en el Panel de control: Detalles del pedido de SSL -> Información del pedido -> Método de validación: -> Editar -> Reenviar. Aquí también es posible cambiar el correo electrónico y configurar otro.

Importante: Si el correo electrónico de validación no se puede recibir después de varios intentos, verifica el nombre de dominio en busca de errores tipográficos al realizar el pedido. También es posible que tu proveedor tenga filtros antispam configurados para que los correos electrónicos de una autoridad extranjera sean rechazados. En este caso, debes ponerte en contacto con tu proveedor de correo electrónico o considerar el uso de una validación alternativa.

Emisión de un certificado

Una vez confirmado el correo electrónico de validación, el certificado se emite en cuestión de minutos y se envía al contacto completado en el pedido.
El correo electrónico contiene una clave pública certificada y certificados de autoridad intermedios, para garantizar la confianza del certificado. Todo se carga en el servidor junto con la clave privada.
 

---

Métodos de verificación alternativos

Si no puedes verificar al propietario del dominio por correo electrónico, hay otras dos formas de validar el dominio.

Autenticación basada en archivos (validación FTP)

La AC autentica el dominio utilizando un archivo TXT ubicado en el espacio de disco del dominio. El archivo de texto disponible públicamente contiene una cadena de texto (token) que debe cargarse en el directorio del sitio web /.well-known/pki-validation/. La autoridad de certificación verifica su existencia y así valida que el solicitante tenga acceso al dominio y tenga derecho a disponer del dominio. Cada solicitud siempre tiene sus propias cadenas de texto, que se enumeran junto con los detalles del pedido y se envían por correo electrónico. Las cadenas a continuación son solo para fines ilustrativos.

Nota: A partir de noviembre de 2021, no es posible verificar los certificados SSL WildCard mediante la validación FTP. Solo DNS.

Ejemplo de validación FTP de un certificado RapidSSL

Nombre del archivo: fileauth.txt
Ruta del archivo: http://example.net/.well-known/pki-validation/fileauth.txt

Contenido (token):
8CC79447A5MTg4MzY1MA2#!cm5ywz5m1lzoyfp2xhy7

El archivo de texto contiene solo el token, sin ninguna otra información.


Ejemplo de validación FTP de un certificado Sectigo PositiveSSL

Nombre del archivo: 048B0565E245687S52C7801EA7D4B954F3.txt
Ruta del archivo: http://example.net/.well-known/pki-validation/048B0565E245687S52C7801EA7D4B954F3.txt

Contenido:
141A63FD5637E4524954SDAB4B2C0B4DBD0CCFABD5379DF821F5F01B3B69116993
COMODOCA.COM
t0211231001361667854

¡Todos los parámetros ingresados deben estar en líneas separadas!


Importante: El archivo de autenticación debe ser accesible en una dirección sin "www". Incluso en el caso de una solicitud de certificado para un dominio con "www", por ejemplo www.ejemplo.net.

La verificación de si el registro está disponible se realiza mediante una simple verificación ingresando la dirección en el navegador, donde debe mostrarse la información de validación.

Validación DNS

Los registros DNS de dominio suelen configurarse mediante tu proveedor de alojamiento o registrador de dominios. La autoridad de certificación genera una cadena única, que se inserta en el DNS como un registro TXT, o se establece el CNAME. A medida que se propaga el nuevo contenido DNS, la AC verifica el registro y emite un certificado al dominio si está OK.

Ejemplo de validación DNS mediante registro TXT

Registro TXT de DNS: d3pyrjg65d8hh1bv0tgr4bx890yksq8j

Ejemplo de validación DNS mediante un registro CNAME

Registro CNAME de DNS: _cfd00c1ec2d56372b27b9562f5da83d0.example.net CNAME
cb3a889855882c6518c0ac959be30067.e8349bfb8ec9a0334864d9bf350a1188.t0119001001421510849.comodoca.com

Importante: Incluso al solicitar un certificado para el dominio www.example.net, el registro TXT debe estar disponible en DNS en el dominio sin "www".

Puedes encontrar la verificación de si el registro está disponible en línea utilizando digwebinterface.com o whatsmydns.net.

---

¿Qué sigue?

• Cómo se verifica la empresa (certificados OV+EV)
• Cómo crear una Solicitud de Firma de Certificado (CSR)
• Formatos de certificado (PEM, KEY, CSR, PFX, ...)
• Qué es la REEMISIÓN de certificados SSL