Posiadanie ważnego certyfikatu SSL dla serwisu internetowego w 2019 roku to już nie tylko konieczność, ale wręcz oczywista sprawa. Często zdarza się, że certyfikat wygaśnie i potrzebujesz uzyskać nowy natychmiast, gdyż Twoja witryna nie może obsługiwać klientów. Ile realnie czeka się na certyfikat SSL od momentu jego zamówienia i opłacenia? Wystawcy podają swoje terminy realizacji, ale czy one są realne? Realizujemy zamówienia na setki certyfikatów rocznie, dlatego chcemy podzielić się naszym doświadczeniem i wyjaśnić, jak to faktycznie działa.

Sposób weryfikacji

Najczęściej zamawiane certyfikaty: Comodo PositiveSSL, RapidSSL, czy GeoTrust QuickSSL Premium to produkty z podstawową metodą weryfikacji, czyli prostym sprawdzeniem praw do domeny. Innymi słowy, wystawca bada, czy osoba starająca się o certyfikat ma faktyczną kontrolę nad nazwą domeny, dla której certyfikat będzie wydany.

Sposób weryfikacji wybierasz podczas zamawiania certyfikatu:

  • e-mail – musisz odebrać e-mail wysłany przez wystawcę na adres admin, administrator, webmaster, postmaster lub hostmaster w domenie certyfikatu. Nie ma możliwości wybrania innego adresu np. info czy kontakt!
  • plik – pod wskazanym przez wystawcę adresem w Twojej domenie, musisz umieścić plik o nazwie i zawartości wskazanej przez wystawcę po zamówieniu certyfikatu.
  • DNS – na serwerze DNS musisz umieścić rekord TXT o treści wskazanej po zamówieniu certyfikatu.

Najczęściej wybieranym sposobem weryfikacji jest e-mail. Możliwa jest bezpłatna zmiana sposobu weryfikacji – wystarczy się z nami skontaktować, a my zmodyfikujemy zamówienie.

Większość certyfikatów z weryfikacją przez e-mail, plik lub DNS jest wydawana w kilka minut. Jeśli czekasz dłużej, poniżej znajdziesz najczęstsze przyczyny takiego stanu rzeczy.

Najpowszechniejszym problemem, który zaobserwowaliśmy, jest weryfikowanie certyfikatu poprzez adres e-mail, który nie istnieje. W takiej sytuacji, wiadomość  od wystawcy nie może dotrzeć do wskazanej skrzynki i “odbija się” z powrotem do nadawcy. Przed złożeniem zamówienia najlepiej sprawdzić, czy odpowiedni adres istnieje.

Jeśli utworzysz weryfikacyjną skrzynkę e-mail już po zamówieniu certyfikatu, e-mail weryfikacyjny można wysłać bezpłatnie ponownie. W przypadku certyfikatów RapidSSL czy GeoTrust, zaloguj się do panelu pod adresem: https://products.geotrust.com/orders/orderinformation/authentication.do. Uwierzytelnij się, a następnie wybierz opcję ponownej wysyłki maila weryfikacyjnego. W przypadku certyfikatów Comodo/Sectigo, napisz do nas.

Rekord CAA

CAA to dość mało znany typ rekordu używany w systemie DNS. Być może spotkałeś się z tym, że serwery DNS, na które wydelegowana jest Twoja nazwa domeny, posiadają ustawione rekordy A, MX czy TXT. CAA jest kolejnym typem rekordu, który mówi, czy dany wystawca jest uprawniony do wystawienia certyfikatu dla tej nazwy domeny.

Przykładowo, rekord CAA może wyglądać następująco:

mserwis.pl.  CAA 0 issue „comodoca.com”
mserwis.pl.  CAA 0 issue „letsencrypt.org”

Oznacza on, że dla domeny mserwis.pl będzie można uzyskać certyfikat SSL wyłącznie od Let’s Encrypt oraz Comodo (czyli aktualnie Sectigo).

Rekord CAA nie jest obowiązkowy. Od września 2017 roku każdy wystawca sprawdza istnienie rekordu CAA dla nazwy domeny, dla której ma być wydany certyfikat. Jeśli Twoja domena go nie ma, certyfikat zostanie wydany i nie musisz ustawiać żadnego CAA. Jeśli natomiast rekord CAA istnieje, będzie bezwzględnie przestrzegany.

Wielu operatorów DNS od niedawna ustawia rekord CAA dla wszystkich obsługiwanych przez siebie domen tylko dla jednego wybranego wystawcy. W takim wypadku, aby certyfikat Comodo czy też GeoTrust był wydany, wymagany będzie kontakt z operatorem serwerów DNS z prośbą o edycję rekordu CAA.

Niestety od wystawcy certyfikatu nie jest łatwo uzyskać wprost informację, że wydanie certyfikatu jest zablokowane z uwagi na nieprawidłowy rekord CAA. To musisz sprawdzić samodzielnie, albo z naszą pomocą.

Jak sprawdzić, czy i jaki rekord CAA mamy ustawiony? Oto dwa narzędzia, z których sami korzystamy, aby móc szybko pomóc naszym klientom:

https://caatest.co.uk/,

https://dnsspy.io/labs/caa-validator.

Aby móc uzyskać dowolny certyfikat DigiCert, poprawny rekord CAA musi zawierać jedną z poniższych wartości:

  • digicert.com,
  • www.digicert.com,
  • digicert.ne.jp,
  • cybertrust.ne.jp,
  • symantec.com,
  • thawte.com,
  • geotrust.com,
  • rapidssl.com.

Wystarczy ustawić jedną z nich, każda ma takie samo znaczenie. Pozwoli to na wydanie certyfikatów DigiCert, Symantec, RapidSSL, GeoTrust, Thawte.

Tak więc rekordy o treści:

mserwis.pl.  CAA 0 issue „digicert.com”
mserwis.pl.  CAA 0 issuewild „digicert.com”

pozwolą na wystawienie dowolnego certyfikatu z oferty DigiCert.

Dla certyfikatów Comodo/Sectigo będzie to:

mserwis.pl.  CAA 0 issue ‚comodoca.com’

mserwis.pl.  CAA 0 issuewild ‚comodoca.com’

Jak widać powyżej, dla certyfikatu chroniącego pojedynczą nazwę domeny, wystarczy prawidłowy rekord o typie “issue”. Dla certyfikatu typu Wildcard wymagane będą jednak obydwa – zarówno “issue” jak i “issuewild”.

Zagubiony e-mail z certyfikatem

Wydany certyfikat SSL przesyłany jest na kontaktowy adres e-mail, podany przy zamawianiu. E-mail ten może wpadać do spamu, w rzadkich wypadkach nie dociera w ogóle z uwagi na zbyt restrykcyjne ustawienia poczty. W takim wypadku certyfikat nadal uzyskasz na dwa sposoby:

  • logując się do panelu certyfikatu bezpośrednio w serwisie jego wystawcy – najszybsza opcja, dostępna 24h na dobę,
  • kontaktując się z nami – nasz BOK prześle Ci wydany certyfikat.

Certyfikaty OV i EV

Droższe certyfikaty nie tylko szyfrują komunikację, ale również uwierzytelniają jego posiadacza. Dlatego ich wydanie trwa dłużej, zazwyczaj kilka dni. W tym czasie wystawca certyfikatu zweryfikuje firmę, która się o niego stara. Polega to na sprawdzeniu wyciągu z rejestru firm, czy firma jest aktywna. Następnie weryfikowany jest adres oraz kontaktowy numer telefonu.

Ostatnim etapem weryfikacji jest kontakt telefoniczny z przedstawicielem firmy. Nie można jednak podać dowolnego numeru telefonu do kontaktu. Wystawca zadzwoni tylko pod oficjalny numer telefonu firmy opublikowany w wybranych bazach firm. Niestety, nie wystarczy opublikować numeru telefonu na własnej stronie WWW.

Numer telefonu powinien widnieć w bazach Dun&Bradstreet, ZoomInfo, Infobel, Kompass, YellowPages, Yell lub podobnej lub w zweryfikowanym profilu biznesowym Google.

W dużych firmach i organizacjach może to być pewien problem. Warto zawczasu sprawdzić, jaki to będzie numer i uprzedzić osobę, która go odbiera, że staramy się o certyfikat SSL. Jeśli wystawca nie dodzwoni się za pierwszym razem, należy się z nim skontaktować w celu umówienia kolejnej rozmowy. Zazwyczaj można wpisać preferowany dzień i godzinę połączenia.

Certyfikat wydany a strona nie działa?

Wydanie certyfikatu SSL to nie wszystko. Certyfikat (również odnawiany) należy zainstalować na serwerze. W zależności od posiadanego serwera, zrobisz to samodzielnie w jego panelu administracyjnym, lub też poprzez kontakt z administratorem.

Mam certyfikat, przyślijcie klucz prywatny

Mamy nadzieję, że Twój certyfikat SSL został wydany szybko, bez żadnych perypetii. Podczas instalacji certyfikatu SSL wymagany jest pasujący do niego klucz prywatny. Firma, w której zamawiasz certyfikat SSL, ani jego wystawca, tego klucza nie mają i nie mogą go wygenerować.

Jeśli go zgubiłeś, zapomniałeś zapisać lub po prostu nie posiadasz – wygeneruj nową parę kluczy i skorzystaj z opcji bezpłatnego ponownego wydania. Więcej szczegółów znajdziesz w naszym artykule: https://blog.mserwis.pl/2018/12/10/gdzie-jest-moj-klucz-prywatny-certyfikat-ssl/ .

Podsumowanie

Powyżej opisaliśmy najczęstsze problemy, opóźniające wydanie certyfikatu SSL. Z naszego doświadczenia dotyczą one jednak maksymalnie kilku procent przypadków.

Większość certyfikatów z natychmiastową walidacją przez e-mail, plik lub DNS jest wydawana w kilka minut. Certyfikaty z pełną weryfikacją firmy to kwestia kilku dni.

Jeśli potrzebujesz certyfikat “na już”, bo na przykład poprzedni wygasł, sprawdź, czy na pewno wybrana metoda weryfikacji działa (czy utworzony jest odpowiedni adres e-mail) i czy nie ma rekordów CAA blokujących wydanie. Wybierz certyfikat typu RapidSSL czy GeoTrust QuickSSL z szybką walidacją.

Tak jak w przypadku domen i serwerów, zachęcamy do odnawiania certyfikatów SSL z wyprzedzeniem. Nic wtedy nie tracisz, a spokojnie uzyskasz i zainstalujesz nowy certyfikat.

W razie problemów, pamiętaj, że z wystawcą certyfikatu możesz skontaktować się przez całą dobę:

https://www.digicert.com/contact-us/,

https://sectigo.com/support.

Polecamy chat, gdzie najszybciej uzyskasz odpowiedzi na swoje pytania.

Zachęcamy do komentowania artykułu, zadawania pytań i kontaktu z nami w sprawie dowolnych certyfikatów SSL!

Komentarze