[SSL/TLS] Vai trò và hoạt động của Domain Control Validation (DCV) khi đăng ký SSL Certificate

By
Quách Chí Cường
-

Domain Control Validation (DCV) là một trong những quy định được sử dụng rộng rãi nhằm yêu cầu các Certificate Authorities (CAs) xác minh quyền sở hữu tên miền hay quyền quản lý tên miền của người đăng ký trước khi quyết định ban hành cấp chứng chỉ SSL cho tên miền.

DCV được sử dụng cho các yêu cầu đằng ký mới cũng như yêu cầu làm mới chứng chỉ số. Bên cạnh đó DCV được áp dụng đối với tất cả các loại chứng chỉ số SSL đang cung cấp hiện nay trên thế giới.

Vậy DCV hiện nay có bao nhiêu phương thức hỗ trợ hoạt động xác minh quyền sở hữu tên miền ? DCV thời điểm này có 3 phương thức bao gồm : Email, HTTP/HTTPSCNAME DNS Record. Các phương thức này thường được thiết lập tự động vận hành không cần tương tác của quản trị viên.

Sau đây chúng ta sẽ đi chi tiết hơn 3 phương thức trên, để các bạn có thể hiểu được chúng.

Contents

I . Domain Control Validation Email

Nhằm bảo vệ khỏi những nguy cơ rủi ro khi đăng ký chứng chỉ SSL, các nhà cung cấp SSL (SSL Vendors) sẽ sử dụng các thủ tục phục vụ an toàn thông tin, trong đó phương pháp sử dụng Domail Control Validation (DCV) Email là phương pháp chính thống thường xuyên sử dụng nhất. Nội dung đơn giản chỉ là 1 cái email xác nhận quyền sở hữu domain.

Vậy DCV Email có đặc điểm gì và hoạt động ra sao :
1. Đầu tiên bạn sẽ order đăng ký loại chứng chỉ SSL (DV, OV hay EV Certificate) với thông tin tên miền “domain.com của bạn, giả sử tên miền của bạn là “tenmien.com” .
2. Nhà cung cấp SSL Vendor sẽ gửi 1 email (DCV email) tới 1 trong các địa chỉ email sau và thường sẽ có danh sách liệt kê ra để bạn chọn email nào mà nhà cung cấp nên gửi đến bạn và bạn sẽ nhận được DCV Email :
– Email được liệt kê trong CSDL WHOIS đối với tên miền mà bạn định đăng ký.
– admin@tenmien.com
– webmaster@tenmien.com
– administrator@tenmien.com
– hostmaster@tenmien.com
– postmaster@tenmien.com

3. Khi bạn nhận được DCV email, trong đó sẽ bao gồm 1 đường link URL1 đoạn mã code. Nhiệm vụ của bạn lúc này là truy cập đường link URL và paste đoạn mã code vào đó rồi xác nhận gửi.
4. Khi nhà cung cấp SSL đã xác thực được thông tin mà bạn cung cấp như quyền sở hữu đối với tên miền bạn đăng ký thì lúc này SSL sẽ được xem xét phát hành hoặc phải chờ đợi thêm đối với các thủ tục được yêu cầu khác.

II. DCV HTTP/HTTPS

Với phương thức này, nhà cung cấp chứng chỉ SSL thường sẽ khởi tạo 1 file text .txt với nội dung được hash từ file CSR mà bạn cung cấp. Bạn sẽ phải upload file text .txt mà nhà cung cấp đưa cho bạn lên thư mục root của source code tên miền website mà bạn muốn đăng ký chứng chỉ số.

Sau đó, phía nhà cung cấp SSL sẽ thực hiện truy cập lấy thông tin file text từ website của bạn, file text buộc phải có đuôi extension .txt mà họ đã khởi tạo ra cho bạn. Nếu sau khi họ lấy được thông tin file và so sánh nội dung trong file text đó khớp với nội dung họ đã khởi tạo băm ra cho bạn, bạn sẽ vượt qua thành công phương thức kiểm tra DCV HTTP/HTTPS này.

Thế cách thức hoạt động thông thường sẽ đơn giản như sau :
1. Bạn đăng ký chứng chỉ SSL, upload CSR và chọn phương thức kiểm tra là DCV HTTP/HTTPS.
2. Phía nhà cung cấp sẽ khởi tạo cho bạn 2 thông tin như sau, thường là 2 hàm băm MD5 và SHA1 từ file CSR bạn gửi cho nhà cung cấp SSL :

SHA1 = c860d581a76a201626eb352f5b0f2b190062dff1
MD5 = df4d2fb1bd1355ef87f04a8681a76280

Lúc này họ sẽ yêu cầu bạn tạo 1 file text .txt trên thư mục root mã nguồn tên miền với tên file sẽ là chuỗi MD5 và nội dung file sẽ là chuỗi SHA1 hoặc bạn cũng có thể download file text từ nhà cung cấp đưa cho bạn và upload lên. Ví dụ trên Linux :

# cd /var/www/html/
# echo -e "c860d581a76a201626eb352f5b0f2b190062dff1\ntenmiennhacungcapssl.com." > df4d2fb1bd1355ef87f04a8681a76280.txt

Đường link URL truy cập sẽ là :

http://tenmien.com/df4d2fb1bd1355ef87f04a8681a76280.txt

Bạn phải đảm bảo file “df4d2fb1bd1355ef87f04a8681a76280.txt” phải truy cập được từ bên ngoài nhằm phục vụ cho nhà cung cấp chứng chỉ SSL có thể lấy file này về và đối chiếu kiểm tra về quyền sở hữu tên miền từ bạn.

3. Sau đấy bạn vào giao diện của nhà cung cấp SSL, bấm test đường dẫn và submit nếu bạn thấy mình đã làm đúng.
4. Cuối cùng sau khi hoàn tất kiểm tra thì nhà cung cấp SSL sẽ phản hồi thông tin lại cho bạn.

III. CNAME DNS Record

Với phương thức CNAME DNS Record thì phần nhiệm vụ của ta sẽ liên quan đến việc khởi tạo record của tên miền bạn đăng ký phục vụ cho quy trình kiểm tra từ nhà cung cấp SSL. Sẽ chẳng có vấn đề gì, nếu bạn thật sự là người sở hữu tên miền hoặc quản lý tên miền thì bạn hoàn toàn có khả năng thay đổi, cập nhật thông tin record liên quan đến tên miền bạn dự định đăng ký chứng chỉ SSL.

Nhà cung cấp sẽ hash file CSR bạn cung cấp ra 2 chuỗi MD5 và SHA1, sau đấy bạn sẽ tạo record với chuỗi MD5 là subdomain của tên miền bạn đăng ký trỏ CNAME về subdomain của tên miền nhà cung cấp chứng chỉ SSL. Sau đấy họ sẽ thực hiện kiểm tra thông tin Record tương ứng là được.

Thường ít người thích xài cách này, do cập nhật DNS Record đôi khi có thể mất từ vài phút đến vài giờ mới cập nhật xong. Khá lâu để đợi chờ vấn đề kiểm tra.

Lúc này cách thức hoạt động sẽ như sau :
1. Bạn đăng ký chứng chỉ SSL và chọn phương thức kiểm tra là DCV CNAME DNS Record.
2. Phía nhà cung cấp sẽ khởi tạo cho bạn 2 thông tin như sau, thường là 2 hàm băm từ file CSR bạn gửi cho nhà cung cấp SSL :

SHA1 = c860d581a76a201626eb352f5b0f2b190062dff1
MD5 = df4d2fb1bd1355ef87f04a8681a76280

Họ yêu cầu bạn tạo 1 CNAME DNS Record theo dạng như sau :
Khuôn mẫu : <chuỗi MD5>.tenmien.com. CNAME <chuỗi SHA1>.tenmiennhacungcapssl.com.
Thực tế : 

df4d2fb1bd1355ef87f04a8681a76280.tenmien.com. CNAME c860d581a76a201626eb352f5b0f2b190062dff1.tenmiennhacungcapssl.com.

Trong trường hợp bạn đăng ký cho các subdomain của bạn thì nó sẽ như sau :

df4d2fb1bd1355ef87f04a8681a76280.tenmiencon1.tenmien.com. CNAME c860d581a76a201626eb352f5b0f2b190062dff1.tenmiennhacungcapssl.com.
 df4d2fb1bd1355ef87f04a8681a76280.tenmiencon2.tenmien.com. CNAME c860d581a76a201626eb352f5b0f2b190062dff1.tenmiennhacungcapssl.com.

3. Sau khi bạn hoàn tất việc khởi tạo CNAME Record như yêu cầu của nhà cung cấp, nhớ có dấu “.” cuối các tên miền để đầy đủ nhé. Bạn hãy quay lại giao diện của nhà cung cấp và xác nhận hoàn tất để họ tự động kiểm tra các thông tin liên quan đến Record bạn vừa khởi tạo.
4. Cuối cùng sau khi hoàn tất kiểm tra thì nhà cung cấp SSL sẽ phản hồi thông tin lại cho bạn.

Như vậy ta đã hiểu qua về các phương thức kiểm tra quyền sỡ hữu hay quản lý đối với tên miền đăng ký SSL rồi nhé.

Previous article[Linux] Fix lỗi cronjobs chạy sai giờ hệ thống trên CentOS
Next article[SecurityLinux] Cài đặt phần mềm quét rootkit – Chkrootkit trên Linux
Quách Chí Cường
https://cuongquach.com/
Bạn đang theo dõi website "https://cuongquach.com/" nơi lưu trữ những kiến thức tổng hợp và chia sẻ cá nhân về Quản Trị Hệ Thống Dịch Vụ & Mạng, được xây dựng lại dưới nền tảng kinh nghiệm của bản thân mình, Quách Chí Cường. Hy vọng bạn sẽ thích nơi này !

BÀI VIẾT LIÊN QUANBÀI VIẾT CÙNG TÁC GIẢ