Kontaktujte nás: +420 603 196 637 (+420 603 1 ZONER) | djcechi@gmail.com

Magazín o bezpečnosti

Magazín o SSL certifikátech a certifikačních autoritách pro Vás píší odbornící z SSLmarketu.

Jak nastavit soubor fileauth.txt pro ověření domény

(8. 1. 2019) V dnešním článku se podíváme na možnost nastavení ověřovacího souboru pro ověření domény; toto ověření se provádí při žádosti o certifikát u všech domén, které jsou v objednávce certifikátu zahrnuty. Ověření provádí výhradně automat a proto je potřeba mu při potížích s ověřením vyhovět.

Web funguje na holé doméně

V takovém případě ověřujete holou doménu v základním tvaru a to je snadné. Stačí pouze nahrát ověřovací soubor do složky /.well-known/pki-validation/ na FTP domény. Pak bude přístupný na adrese http://nazev-domeny.cz/.well-known/pki-validation/fileauth.txt a autorita ho obratem ověří.

Web může běžet na HTTP i HTTPS, za předpokladu, že je spojení důvěryhodné.

Web je přesměrovaný na tvar s WWW

Webové stránky se často používají ve tvaru s WWW na začátku a mnoho správců webových serverů přesměrovává na www.nazev-domeny.cz z holé domény nazev-domeny.cz. Toto přesměrování však způsobuje kolizi při ověření pomocí souboru.

Proč kolize vzniká? Certifikační autority jsou společnými pravidly vázány k tomu, aby doménu ověřily v základním tvaru. Není možné ověřit doménu nazev-domeny.cz přes subdoménu www.nazev-domeny.cz, protože je to odlišný DNS název (FQDN). V takovém případě objednávka čeká na samostatné ověření holé domény. Manuální kontrola a ověření nejsou možné, jsou naopak zakázané.

Konfiguraci webu a přesměrování nemusíte rušit, protože ověřovací soubor se dá z přesměrování vyjmout. Pravidlo v souboru htaccess, který se používá na nejrozšířenějším webovém serveru Apache, vypadá dohromady s přesměrováním takto:

RewriteEngine On
RewriteCond %{REQUEST_URI} !^/.well-known/pki-validation/fileauth.txt
RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} !^www\. [NC]
RewriteCond %{HTTP_HOST} ^(?:www\.)?(.+)$ [NC]
RewriteRule ^ https://www.%1%{REQUEST_URI} [L,NE,R=301]

S tímto pravidlem funguje nadále přesměrování celého webu na https://www.nazev-domeny.cz, ale na ověřovací soubor se nevztahuje a ten je dostupný na http://nazev-domeny.cz/.well-known/pki-validation/fileauth.txt. Ověření pak proběhne v pořádku a hladce.

Možné potíže s ověřením pomocí souboru

I při této jednoduché metodě ověření lze narazit na problémy; vždy jsou však způsobeny na straně serveru. Typickým příkladem je běh serveru na nestandardním portu. Certifikační autorita ověřuje soubor fileauth.txt na standardních portech 80 a 443; není možné využít jiné nestandardní. Pokud je toto problém, tak je vhodné zvolit ověření pomocí DNS záznamu.

Druhou častou možností je nedůvěryhodný certifikát na webu. Pokud je ověřovací robot certifikační autority přesměrován na HTTPS a narazí na nedůvěryhodný certifikát, bude to pro něj nepřekonatelný problém. Důvody mohou být různé - expirace, nedůvěryhodná CA, použití na špatné doméně... V takovém případě je lepší HTTPS na velice krátkou dobu vypnout, nebo použít pravidlo na výjimku souboru z přesměrování, kterou uvádíme výše. Vždy můžete také využít ověření pomocí DNS záznamu, které proces nijak nezpomalí.

V případě potíží kontaktujte podporu

Výše uvedené rady vám pomohou vyřešit ověření domény pomocí souboru fileauth.txt bez jakýchkoliv potíží. Platí však, že v případě potřeby je vám k dispozici zákaznická podpora SSLmarketu a  případný problém s ověřením domény vyřeší.

Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus 
e-mail: jindrich.zechmeister(at)zoner.cz