PSW GROUP bietet Hash-Verfahren als Alternative für die Validierung von SSL-Zertifikaten

Beantragen Website-Betreiber Domain-bezogene SSL-Zertifikate – so genannte DV-Zertifikate –, um den Datenaustausch zwischen ihrer Website und ihren Nutzern durch Verschlüsselung zu sichern, müssen sie sich gegenüber einer Zertifizierungsstelle identifizieren. Vor allem hat der Website-Betreiber darzulegen, dass er der tatsächliche Eigentümer der Domain ist, für die das SSL-Zertifikat künftig eingesetzt werden soll. Im Fachjargon spricht man von der so genannten Domain Control Validation (DCV). Diese Validierung erfolgte bisher fast ausschließlich per E-Mail, die als Adressbestandteil in der Regel die Domain, für die das Zertifikat ausgestellt werden soll, umfassen muss. Problematisch: Für all jene Website-Betreiber, die keinen eigenen E-Mail-Server unter der Domain betreiben, ist das Verfahren nicht geeignet. Zudem kann die Bestätigungs-Mail der Zertifizierungsstelle samt Validierungslink in Blacklists, Spam-Filtern oder täglichem Arbeitsstress verlorengehen.

Als Alternative zur E-Mail-Validierung bei Domain-validierten (DV) SSL-Zertifikaten bieten wir gemeinsam mit der Zertifizierungsstelle COMODO ab sofort die Zertifikatsvalidierung per Hash-Verfahren an. Dabei stehen das HTTP-Hash- sowie das CNAME-Hash-Verfahren zur Auswahl. Bei Ersterem hinterlegt der Website-Betreiber im Rootverzeichnis seines Servers eine Textdatei, die dann von COMODO abgerufen und geprüft wird. Die Textdatei umfasst sowohl im Dateinamen als auch im Inhalt jeweils den erforderlichen CSR-Code als Hash-Wert. Ebenso verhält es sich beim CNAME-Hash-Verfahren, dass sich allerdings auf das Domain Name System (DNS) stützt. Denn bei dieser Hash-Validierungsmethode für SSL-Zertifikate wird vom Website-Betreiber ein DNS-Eintrag mittels CNAME angelegt. Er umfasst ebenfalls den Hashwert des CSR-Codes vom Antragsteller, wird ebenso von COMODO aufgerufen und so zur Validierung des Website-Betreibers herangezogen.

„In beiden Verfahren weist der Website-Betreiber sein Eigentum an der Domain nach, in dem er die Textdatei auf den Server lädt beziehungsweise den DNS-Eintrag anlegt. COMODO wertet somit die Tatsache, dass der Zertifikatsantragssteller physischen Zugriff auf den Server beziehungsweise auf die DNS-Ebene hat, als Beleg dafür, dass er tatsächlicher Eigentümer der Domain ist“, erklärt Christian Heutger. Für das CNAME-Validierungsverfahren von COMODO ist allerdings einiges technisches Know-how erforderlich, so dass der Internet Security-Spezialist Laien neben der E-Mail- vor allem die HTTP-Hash-Validierung von SSL-Zertifikaten empfiehlt.