Solução de problemas de falhas na validação de controle de domínio (DCV)

Ver todos os guias

Resumo: A Validação de Controle de Domínio (DCV) é uma etapa necessária antes que o SSL possa emitir certificados SSL/TLS, Mark, e, em certas circunstâncias, S/MIME certificados. No entanto, erros de configuração, restrições de rede e atrasos na propagação podem interromper o processo.

Este guia aborda os motivos mais comuns para falhas de validação em todos os métodos suportados, incluindo e-mail, upload de arquivos HTTP, CNAME e DNS TXT, e fornece etapas diretas para resolver cada um deles. Bloqueadores menos comuns, como registros CAA restritivos e tokens expirados, também são abordados.

Antes que a SSL possa emitir seu certificado, você precisa comprovar o controle sobre o domínio que ele protegerá. Esse processo é chamado de Validação de Controle de Domínio (DCV). Quando algo não ocorre como esperado, a emissão do certificado é interrompida e seu pedido permanece pendente.

Este guia explica por que a validação cruzada (DCV) falha para cada método de validação suportado, o que procurar e exatamente como resolver o problema.

Por que o DCV falha: uma breve visão geral

As falhas das válvulas de controle de velocidade de derivação (DCV) se enquadram em algumas categorias gerais, independentemente do método utilizado:

  • O token de validação, o arquivo ou o registro está incorreto, ausente ou inacessível.
  • Uma configuração de rede (firewall, CDN, redirecionamento) está bloqueando a verificação automática do SSL.
  • As alterações de DNS ainda não foram propagadas.
  • O período de validação expirou antes que a verificação pudesse ser concluída com sucesso.

As seções abaixo abordam cada método individualmente.

Falhas na validação de e-mail

Como Funciona

Ao selecionar a validação por e-mail, o SSL envia uma mensagem contendo um código único e um link de confirmação para um dos endereços pré-aprovados para o seu domínio (por exemplo, admin @, admin @, webmaster @, hostmaster @, ou postmaster @).

Motivos comuns para falha na validação de e-mail

A caixa de correio selecionada não existe. Essa é a causa mais frequente. Endereços genéricos como admin @ or webmaster @ Nem todos os provedores de hospedagem criam endereços IP automaticamente. Se você selecionou um desses endereços durante a finalização da compra e nunca o configurou, a mensagem não terá para onde ser enviada.

O e-mail foi filtrado como spam. Por vezes, os gateways de segurança e os filtros de spam colocam em quarentena mensagens automatizadas de autoridades certificadoras. Verifique as suas pastas de spam, lixo eletrónico e quarentena antes de assumir que o e-mail não foi enviado.

O link de confirmação expirou. Os links de validação têm um prazo de validade limitado. Se você não concluir a confirmação dentro do prazo permitido, o link deixará de ser válido.

O endereço selecionado está incorreto. Se a sua organização utiliza um endereço de e-mail de contato personalizado registrado por meio de um registro DNS CAA ou TXT, confirme se o registro está configurado corretamente e se o endereço está acessível.

Como corrigi-lo

  1. Faça login na sua conta SSL, acesse seu pedido e clique em Executar validação.
  2. Confirme se o endereço exibido é um endereço ao qual você tem acesso. Caso contrário, use a opção para reenviar para um endereço aprovado diferente ou mude para um método baseado em DNS ou HTTP.
  3. Após reenviar, verifique sua caixa de entrada e a pasta de spam.
  4. Assim que receber o e-mail, siga o link e insira o código de validação imediatamente. Não feche a página de confirmação antes de enviar.

Falhas na validação de arquivos HTTP

Como Funciona

Com a validação de arquivos HTTP, você baixa um pequeno arquivo de texto do seu portal SSL e o carrega para um caminho específico no seu servidor web. Os sistemas automatizados do SSL tentam então recuperá-lo via HTTP na porta 80 ou HTTPS na porta 443.

Motivos comuns para falha na validação de arquivos HTTP

O arquivo foi colocado no diretório errado. O arquivo deve estar acessível em:

http://yourdomain.com/.well-known/pki-validation/[MD5_hash].txt

Um erro comum é enviar o arquivo para a raiz do site ou para um subdiretório diferente. .well-known/pki-validation/ O caminho é obrigatório e deve ser exato.

O conteúdo do arquivo está incorreto. O arquivo de texto deve conter o hash SHA-256 do CSR na primeira linha, seguido por ssl. com na segunda linha e o token exclusivo na terceira. Editar o arquivo, adicionar espaços extras ou salvá-lo com a codificação errada fará com que a verificação falhe.

Um redirecionamento está bloqueando o acesso. Muitos sites redirecionam todo o tráfego HTTP para HTTPS ou redirecionam o domínio raiz para um endereço HTTP. www subdomínio. A verificação SSL segue os redirecionamentos HTTP padrão, mas algumas cadeias de redirecionamento (especialmente aquelas que envolvem portas não padrão ou firewalls de autenticação) podem interromper a consulta. Se o seu site forçar um redirecionamento, verifique se o arquivo ainda está acessível no URL de destino final.

Uma CDN ou WAF está interceptando a solicitação. Redes de distribuição de conteúdo (CDNs) e firewalls de aplicativos da web podem bloquear ou armazenar em cache solicitações para caminhos desconhecidos. Se você usa Cloudflare, Fastly ou um serviço similar, confirme se não há regras que impeçam o acesso ao conteúdo. /.well-known/pki-validation/ caminho, ou coloque temporariamente a CDN em modo de passagem para esse caminho.

O servidor está configurado para bloquear .txt arquivos ou o .bem conhecido diretório. Algumas configurações de servidor bloqueiam o acesso direto a diretórios ocultos (aqueles que começam com um ponto). Verifique a sua configuração. .htaccess Configuração de arquivo ou servidor para garantir que o caminho seja acessível publicamente sem autenticação.

O domínio não está acessível publicamente. Se o seu servidor estiver em uma rede privada ou atrás de um firewall que bloqueia conexões externas, a verificação automática do SSL não conseguirá alcançá-lo. Nesse caso, a validação por DNS ou por e-mail é o método apropriado.

Como corrigi-lo

  1. Faça o download do arquivo DCV do seu pedido. Executar validação Disputas de Comerciais.
  2. Faça o upload exatamente como foi baixado para /.well-known/pki-validation/ no seu servidor web.
  3. Antes de solicitar uma nova verificação, cole o URL completo do arquivo em um navegador ou use enrolar para confirmar se o arquivo retorna um 200 OK resposta e conteúdo correto.
  4. Se você vir um redirecionamento, siga-o até o URL final e verifique se o conteúdo do arquivo está intacto.
  5. Após confirmar que o arquivo está acessível, retorne ao seu portal SSL e acione a verificação de validação.

Falhas na validação de DNS CNAME

Como Funciona

A validação DNS CNAME exige que você adicione um registro CNAME específico à zona DNS do seu domínio. O registro utiliza os hashes MD5 e SHA-256 do seu domínio. CSR como seu nome e um valor aleatório, apontando de volta para ssl.com.

Motivos comuns para falha na validação de CNAME

Erros tipográficos no registro. Os valores de hash são sequências longas e fáceis de digitar incorretamente. Mesmo um único caractere incorreto significa que o registro não corresponderá ao que o SSL procura.

A propagação do DNS está incompleta. As alterações de DNS não entram em vigor instantaneamente. Dependendo do TTL definido na sua zona de DNS, geralmente leva de alguns minutos a 48 horas para que um novo registro fique visível para todos os resolvedores do mundo. A verificação SSL precisa conseguir ver o registro de vários pontos de vista da rede.

O registro foi adicionado no nível errado. O registro CNAME deve ser criado como um subdomínio do domínio que está sendo validado. Colocá-lo na zona errada ou usar um formato de nome de host incorreto fará com que a pesquisa falhe.

Existe um conflito de CNAME. Se já existir um registro CNAME para o mesmo nome de host, alguns provedores de DNS rejeitarão a nova entrada ou a sobrescreverão silenciosamente. Confirme se o registro foi salvo corretamente após adicioná-lo.

Como corrigi-lo

  1. Copie o nome e o valor do CNAME diretamente do seu portal SSL, em vez de digitá-los novamente.
  2. Após salvar o registro, use uma ferramenta de pesquisa de DNS (como...) cavar ou um verificador de DNS online) para verificar se o registro está sendo resolvido corretamente antes de solicitar a validação.
  3. Se a propagação ainda estiver em andamento, aguarde e verifique novamente. A maioria dos registros se propaga em poucas horas, embora o prazo total possa se estender até 48 horas.
  4. Assim que o registro for confirmado como ativo, retorne ao seu pedido e acione a verificação de validação.

Falhas na validação de DNS TXT

A validação de DNS TXT segue os mesmos princípios da validação de CNAME. Os pontos de falha mais comuns são idênticos: erros de digitação no valor do registro, atrasos na propagação e colocação do registro na zona DNS errada. As mesmas etapas de diagnóstico se aplicam. Confirme se o registro existe e se resolve corretamente antes de solicitar uma nova verificação.

Causas menos comuns em todos os métodos

Registros da CAA que bloqueiam a emissão. Se o seu domínio tiver registros CAA (Autorização de Autoridade de Certificação), eles devem permitir explicitamente o acesso. ssl. com Para emitir certificados. Um registro CAA que lista apenas outras CAs fará com que a emissão falhe mesmo após a conclusão da DCV. Verifique sua zona DNS em busca de registros CAA existentes e adicione ou atualize-os conforme necessário.

O token de pedido expirou. Os tokens de validação têm prazo de validade. Se o seu pedido estiver pendente por um longo período sem que a verificação seja concluída, pode ser necessário gerar um novo token. Faça login na sua conta e envie novamente a solicitação de validação para obter valores atualizados.

Validar um domínio que você não controla. Se você estiver validando um domínio em nome de um cliente ou terceiro, confirme se eles concederam acesso aos endereços de e-mail, registros DNS ou diretórios de servidor necessários. A validação de domínio não pode ser concluída sem algum tipo de acesso à infraestrutura do domínio.

Ainda está tendo problemas?

Se você seguiu os passos acima e a validação ainda não foi concluída, a equipe de suporte SSL está disponível para ajudar. Você pode entrar em contato conosco via chat ao vivo ou por e-mail em Support@SSL.comAo entrar em contato, ter em mãos o número do seu pedido e o método de validação específico que você está utilizando nos ajudará a resolver o problema o mais rápido possível.

Para obter uma referência completa dos requisitos DCV do SSL e dos formatos de registro aceitos, consulte SSL /TLS Requisitos de Validação de Domínio de Certificado.

Twitter
Facebook
LinkedIn
Reddit
E-mail

Equipe de Suporte SSL

Todas as publicações "

Mantenha-se informado e seguro

SSL.com é líder global em segurança cibernética, PKI e certificados digitais. Inscreva-se para receber as últimas notícias do setor, dicas e anúncios de produtos da SSL.com.

SSL.com

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.

Responder à pesquisa
Visão geral de privacidade
SSL.com

Este site usa cookies para que possamos oferecer a melhor experiência possível ao usuário. As informações sobre cookies são armazenadas no seu navegador e desempenham funções como reconhecê-lo quando você retornar ao nosso site e ajudar nossa equipe a entender quais seções do site você acha mais interessantes e úteis.

Para mais informações, leia nossa Declaração de privacidade e cookies.

Cookies de terceiros

Este site usa Google Analytics & Contador de estatísticas para coletar informações anônimas, como o número de visitantes do site e as páginas mais populares.

Manter esses cookies habilitados nos ajuda a melhorar nosso site.

Mostrar detalhes
Powered by  Conformidade com cookies GDPR