Domein controle

Één van de controles die wordt uitgevoerd voor de uitgifte van een servercertificaat, is het vaststellen dat de aanvrager daadwerkelijk de zeggenschap heeft over de Naam van de service (FQDN) die in de aanvraag is opgenomen. Deze controle heet ˋdomein controleˊ. De eisen aan deze controles zijn internationaal gestandaardiseerd en voorgeschreven. Hieronder zijn de verschillende opties toegelicht waarvan u gebruik kunt maken. De genoemde controles gelden ook voor alle additionele Subject Alternative Name (SAN) namen.

certSIGN servercertificaten

Voor de domein controle stuurt certSIGN een e-mailbericht (@certsign.ro) naar de Aanvrager. Dit e-mailbericht bevat een random code, welke in het DNS TXT record van het desbetreffende domein toegevoegd dient te worden.
Indien nodig autoriseert men certSIGN om voor het domein een certificaat uit te geven door “certsign.ro” toe te voegen in een DNS CAA record.
certSIGN checkt automatisch of de aanpassingen zijn doorgevoerd.

PKIoverheid servercertificaten

Een belangrijke rol in het proces van domein controle speelt de Whois informatie (uitspraak: who is). Via Whois is het mogelijk om gegevens over een domeinnaam te achterhalen door middel van een vraag aan een database. In de database staan onder andere de naam en contactgegevens van de eigenaar van het domein -vertegenwoordigd door de zogenaamde ˋAdministrative Contactˊ- en de internet provider. Vanuit privacy overwegingen is deze informatie steeds vaker afgeschermd waardoor er ook alternatieve manieren beschikbaar zijn om de domein controle uit te kunnen voeren. Deze zijn hieronder toegelicht en KPN zal hiervoor contact met u opnemen tijdens het aanvraagproces.

Whois informatie is niet afgeschermd

Als de gegevens van de Administrative Contact voor KPN (tijdelijk) zichtbaar zijn in de Whois database, zal KPN per e-mail contact opnemen met de Administrative Contact. Deze ontvangt een e-mail met als onderwerp ˋDomein authorisatie voor www.uwdomein.testˊ met de volgende inhoud. Met een reply is de autorisatie voor gebruik van het domein eenvoudig af te geven:

De organisatie Testorganisatie BV heeft bij KPN een aanvraag gedaan voor de uitgifte van een PKIoverheid Servercertificaat voor onderstaand(e) domein(en):
www.uwdomein.test
Om dit certificaat te kunnen uitgeven moet KPN toestemming krijgen van de administrative contact voor bovengenoemd(e) domein(en).
Met een reply op deze e-mail geeft u aan dat u gerechtigd bent deze domein autorisatie af te geven. Deze autorisatie geldt voor de looptijd van het certificaat. Mocht binnen 1 jaar opnieuw een certificaat worden aangevraagd op exact hetzelfde domein door dezelfde organisatie en de whois informatie is niet gewijzigd, kunnen wij op deze afgegeven autorisatie steunen.
De autorisatie kunt u afgeven door een reply te geven op deze e-mail, met de melding dat u akkoord gaat met het gebruik van genoemd domein door genoemde organisatie, verstuurd vanuit de e-mail box waarnaar deze e-mail is verstuurd.

Whois informatie is afgeschermd

Als de gegevens van de Administrative Contact zijn afgeschermd, zal KPN contact opnemen met de Contactpersoon die de aanvraag heeft ingediend en een e-mail sturen met het onderwerp ˋDomein authorisatie voor www.uwdomein.testˊ en de volgende inhoud:

U heeft namens Testorganisatie BV een aanvraag gedaan voor de uitgifte van een PKIoverheid Servercertificaat voor het domein www.uwdomein.test.
KPN is verplicht om vast te stellen of het domein waarvoor de aanvraag is gedaan in eigendom is van de organisatie of dat de organisatie de controle over de genoemde website (FQDN) heeft. Standaard gebruikt KPN de Whois registratie van de FQDN en neemt contact op met de daar aangegeven administrative contact. Vanwege de privacy zijn deze gegevens voor www.uwdomein.test echter afgeschermd. KPN heeft onderstaande mogelijkheden om toch deze controle te kunnen uitvoeren, maar dit vereist actie van uw organisatie:


  1. Zet op de website www.uwdomein.test in ˋ/.well-known/pki-validationˊ directory het bijgevoegde bestand ˋKPNdomaincontrol.txtˊ (http://www.uwdomein.test/.well-known/pki-validation/KPNdomaincontrol.txt) waarin de code is vermeld.

  2. Zet in de DNS entry van www.uwdomein.test in een TXT record de onderstaande code:
    e0abfb67e3dc17805cdd38474645735b48980d3592c1cb50cc5a02653f67857

Wanneer dit is uitgevoerd ontvangen we graag een reply op deze e-mail met vermelding welke van bovenstaande aanpassing is doorgevoerd. KPN zal dan de controle uitvoeren en de aanvraag verder gaan behandelen.

Veelgestelde vragen

Hoe werkt domein controle bij gebruik van één of meer Subject Alternative Names (SAN)?

KPN zal de domein controle uitvoeren voor alle SAN’s die in de aanvraag zijn opgenomen. Het kan dus zijn dat er meerdere Administrative Contacts worden benaderd of meerdere acties nodig zijn om de domein controle voor alle aangevraagde SAN’s aan te tonen. U hoeft daarvoor geen actie te ondernemen. KPN zal alle Administrative Contacts benaderen.