Domein controle

Een zeer belangrijke controle voordat KPN een servercertificaat uitgeeft, is het vaststellen dat de aanvrager daadwerkelijk de zeggenschap over de Naam van de service (FQDN) heeft die in de aanvraag van het servercertificaat is opgenomen. Dit is de zogenaamde ‘domein controle’. De eisen aan deze controles zijn internationaal gestandaardiseerd en voorgeschreven en hieronder zijn de verschillende opties toegelicht waarvan u gebruik kunt maken. De genoemde controles gelden ook voor alle additionele SAN namen.

Een belangrijke rol in het proces van domein controle speelt de zogenaamde Whois informatie (uitspraak: who is). Via Whois is het mogelijk om gegevens over een domeinnaam te achterhalen door middel van een vraag aan een database. In de database staan onder andere de naam en contactgegevens van de eigenaar van het domein -vertegenwoordigd door de zogenaamde ‘Administrative Contact’- en de internet provider. Vanuit privacy overwegingen is deze informatie steeds vaker afgeschermd waardoor er ook alternatieve manieren beschikbaar zijn om de domein controle uit te kunnen voeren. Deze zijn hieronder toegelicht en KPN zal hiervoor contact met u opnemen tijdens het aanvraagproces.

Whois informatie is niet afgeschermd

Als de gegevens van de Administrative Contact voor KPN (tijdelijk) zichtbaar zijn in de Whois database, zal KPN per e-mail contact opnemen met de Administrative Contact. Deze ontvangt een e-mail met als onderwerp ‘Domein authorisatie voor www.uwdomein.test’ met de volgende inhoud. Met een reply is de autorisatie voor gebruik van het domein eenvoudig af te geven:

De organisatie Testorganisatie BV heeft bij KPN een aanvraag gedaan voor de uitgifte van een PKIoverheid Servercertificaat voor onderstaand(e) domein(en):

www.uwdomein.test

Om dit certificaat te kunnen uitgeven moet KPN toestemming krijgen van de administrative contact voor bovengenoemd(e) domein(en).

Met een reply op deze e-mail geeft u aan dat u gerechtigd bent deze domein autorisatie af te geven. Deze autorisatie geldt voor de looptijd van het certificaat. Mocht binnen 1 jaar opnieuw een certificaat worden aangevraagd op exact hetzelfde domein door dezelfde organisatie en de whois informatie is niet gewijzigd, kunnen wij op deze afgegeven autorisatie steunen.

De autorisatie kunt u afgeven door een reply te geven op deze e-mail, met de melding dat u akkoord gaat met het gebruik van genoemd domein door genoemde organisatie, verstuurd vanuit de e-mail box waarnaar deze e-mail is verstuurd.

Whois informatie is afgeschermd

Als de gegevens van de Administrative Contact zijn afgeschermd, zal KPN contact opnemen met de Contactpersoon die de aanvraag heeft ingediend en een e-mail sturen met het onderwerp ‘Domein authorisatie voor www.uwdomein.test’ en de volgende inhoud:

U heeft namens Testorganisatie BV een aanvraag gedaan voor de uitgifte van een PKIoverheid Servercertificaat voor het domein www.uwdomein.test.

KPN is verplicht om vast te stellen of het domein waarvoor de aanvraag is gedaan in eigendom is van de organisatie of dat de organisatie de controle over de genoemde website (FQDN) heeft. Standaard gebruikt KPN de Whois registratie van de FQDN en neemt contact op met de daar aangegeven administrative contact. Vanwege de privacy zijn deze gegevens voor www.uwdomein.test echter afgeschermd. KPN heeft onderstaande mogelijkheden om toch deze controle te kunnen uitvoeren, maar dit vereist actie van uw organisatie.

1. Zet op de website www.uwdomein.test in ‘/.wellknown/pki-validation’ directory het bijgevoegde bestand ‘KPNdomaincontrol.txt’ (http://www.uwdomein.test/.well-known/pki-validation/KPNdomaincontrol.txt) waarin de code is vermeld.

2. Zet in de DNS entry van www.uwdomein.test in een TXT record de onderstaande code.

                         8e0abfb67e3dc17805cdd38474645735b48980d3592c1cb50cc5a02653f67857

Wanneer dit is uitgevoerd ontvangen we graag een reply op deze e-mail met vermelding welke van bovenstaande aanpassing is doorgevoerd. KPN zal dan de controle uitvoeren en de aanvraag verder gaan behandelen.

Veelgestelde vragen

Hoe werkt domein controle bij gebruik van één of meer Subject Alternative Names (SAN)?

KPN zal de domein controle uitvoeren voor alle SAN’s die in de aanvraag zijn opgenomen. Het kan dus zijn dat er meerdere Administrative Contacts worden benaderd of meerdere acties nodig zijn om de domein controle voor alle aangevraagde SAN’s aan te tonen. U hoeft daarvoor geen actie te ondernemen. KPN zal alle Administrative Contacts benaderen.