.well-known Cartella di convalida
Lisa AndersonCondividi
Quando si implementano i certificati SSL di Trustico® , la comprensione della cartella .well-known è essenziale per la convalida del dominio.
Questa speciale cartella gioca un ruolo cruciale nel dimostrare la proprietà del dominio quando si installano i Certificati Trustico® SSL.
In qualità di fornitore leader di Certificati Trustico® e Sectigo® SSL, guidiamo i clienti attraverso il processo di convalida per garantire il successo dell'implementazione del Certificato SSL.
Cos'è la cartella .well-known?
La cartella .well-known è una directory standardizzata sui server web che memorizza i file di verifica dei Certificati SSL e altri contenuti relativi alla sicurezza.
Quando si acquista un Certificato Trustico® SSL, un metodo di convalida prevede l'inserimento di un file di verifica unico in questa cartella per dimostrare il controllo del dominio.
Questa cartella segue gli standard RFC 5785 e serve come posizione universale a cui le Certificate Authority come Sectigo® possono accedere per verificare la proprietà del dominio.
Il metodo della cartella .well-known è una delle diverse opzioni di convalida che Trustico® offre ai clienti di SSL Certificate.
La cartella .well-known è stata creata per creare una posizione coerente e standardizzata per le risorse conosciute in Internet.
Oltre alla convalida del Certificato SSL, questa directory serve anche per altre funzioni di sicurezza, tra cui i file dei criteri di sicurezza, gli endpoint di autenticazione e le informazioni di individuazione dei servizi.
Per la convalida del certificato SSL in particolare, la cartella contiene di solito una sottodirectory denominata "pki-validation" in cui sono collocati i file di verifica.
Funzionamento della Domain Validation con la cartella .well-known
Il processo di convalida del dominio utilizzando la cartella .well-known segue un protocollo specifico progettato per verificare la proprietà in modo sicuro.
Quando si ordina un certificato SSL da Trustico®, il nostro sistema genera un token di convalida unico che contiene caratteri casuali specifici per l'ordine. Questo token serve come prova crittografica che la persona che richiede il certificato SSL ha accesso amministrativo al dominio.
Durante la convalida, la Certificate Authority (CA) cerca di recuperare il file di verifica da un percorso predefinito all'interno della vostra directory .well-known.
Questo percorso segue tipicamente il formato: "/.well-known/pKI-validation/[filename]", dove il nome del file contiene il token univoco fornito durante il processo di ordinazione del Certificato SSL.
Questo metodo di convalida è considerato altamente sicuro perché richiede l'accesso diretto al file system del server web, che solo gli amministratori legittimi del dominio dovrebbero possedere.
A differenza dei metodi di convalida basati sull'e-mail, l'approccio della cartella .well-known è meno suscettibile di intercettazione o di attacchi di social engineering, il che lo rende il metodo di convalida preferito da molte organizzazioni attente alla sicurezza.
Creazione della cartella .well-known
L'impostazione della cartella .well-known è semplice quando si seguono le linee guida di validazione di Trustico®. Innanzitutto, creare una cartella denominata ".well-known" nella cartella principale del sito web. Questa cartella deve essere accessibile tramite HTTP/HTTPS per il processo di validazione.
Per i server Apache, assicurarsi che la configurazione consenta l'accesso alla directory .well-known. Con nginx, potrebbe essere necessario aggiungere blocchi di posizione specifici per consentire l'accesso. Il supporto tecnico di Trustico® può fornire assistenza in caso di problemi di configurazione.
Sui server Apache, potrebbe essere necessario modificare il file .htaccess per garantire l'accesso alla directory .well-known. L'aggiunta della seguente direttiva può aiutare a prevenire i problemi di accesso più comuni:
Per i server Nginx, l'aggiunta di un blocco di posizione specifico alla configurazione del server assicura un accesso corretto ai file di convalida:
location ~ /.well-known { allow all; auth_basic off; }
Dopo aver creato la directory principale .well-known, è necessario creare al suo interno anche la sottodirectory "pKI-validation", dove la maggior parte delle Certificate Authority, comprese quelle che emettono i certificati Trustico® SSL, cercheranno i file di validazione.
Il percorso completo dovrebbe essere: "domain.com/.well-known/pki-validation/".
Problemi comuni di configurazione
Diversi problemi possono impedire il successo della convalida attraverso la cartella .well-known. La comprensione di questi problemi aiuta a garantire l'emissione regolare di certificati SSL quando si utilizzano i certificati Trustico® SSL.
Le restrizioni di accesso dei plugin di sicurezza o dei firewall delle applicazioni web a volte bloccano i tentativi di convalida della Certificate Authority.
Se si utilizzano plugin di sicurezza come ModSecurity, Wordfence o Sucuri, potrebbe essere necessario configurare eccezioni per la directory .well-known per consentire alle richieste di convalida di procedere.
Anche i reindirizzamenti possono interferire con la convalida: se il vostro sito web reindirizza automaticamente tutto il traffico da HTTP a HTTPS, o da versioni non www a www (o viceversa), il sistema di convalida potrebbe non essere in grado di seguire correttamente questi reindirizzamenti.
Assicuratevi che la directory .well-known sia accessibile su tutte le versioni del vostro dominio per evitare errori di convalida.
Le reti di distribuzione dei contenuti (CDN) come Cloudflare, Akamai o Fastly possono talvolta memorizzare nella cache o bloccare l'accesso alla directory .well-known. Se si utilizza una CDN, potrebbe essere necessario metterla temporaneamente in pausa o creare regole specifiche per garantire che le richieste di convalida raggiungano il server di origine senza interferenze.
I problemi di permessi dei file rappresentano un altro ostacolo comune. I file e le directory di validazione devono essere leggibili dal processo del server web.
L'impostazione dei permessi appropriati (in genere 755 per le directory e 644 per i file) garantisce che la Certificate Authority possa accedere ai file di convalida durante la verifica della proprietà del dominio per il vostro Certificato Trustico® SSL.
Processo di Domain Validation
Quando si utilizza la cartella .well-known per la convalida del Certificato Trustico® SSL, si riceve un file di verifica univoco, da inserire nella cartella .well-known secondo le istruzioni fornite durante il processo di ordinazione del Certificato SSL.
Il nostro sistema di convalida verificherà automaticamente la presenza di questo file per verificare il controllo del dominio. Una volta convalidato, il vostro Certificato Trustico® SSL sarà emesso immediatamente. Questo processo semplificato garantisce una rapida implementazione della sicurezza del vostro Certificato SSL.
Il processo di convalida si completa in genere in pochi minuti, una volta che il file di verifica è stato inserito correttamente. I nostri sistemi automatici controllano continuamente la presenza del file di convalida e, in caso di esito positivo della verifica, procedono immediatamente all'emissione del Certificato SSL.
Questa efficienza permette alle organizzazioni di implementare la sicurezza del Certificato SSL con il minimo ritardo.
Per i certificati Multi-Domain SSL o i certificati Wildcard SSL potrebbe essere necessario convalidare più domini o il dominio di base.
Ogni dominio che richiede la convalida avrà il suo file di verifica unico che deve essere collocato nella directory .well-known del rispettivo dominio.
Opzioni per i certificatiSSL
Trustico® offre una gamma completa di Certificate SSL per soddisfare ogni esigenza di sicurezza.
Il nostro portafoglio comprende certificati Domain Validation (DV), Organization Validation (OV) ed Extended Validation (EV) SSL di entrambi i marchi Trustico® e Sectigo®.
Ogni tipo di certificato SSL supporta il metodo di convalida della cartella .well-known, rendendo la verifica del dominio coerente in tutta la nostra gamma di prodotti. Questo approccio standardizzato semplifica il processo di convalida per i nostri clienti.
I certificati Domain Validation (DV) SSL di Trustico® forniscono una crittografia di base e sono ideali per blog, siti web informativi e progetti personali. Questi SSL Certificate verificano solo la proprietà del dominio e possono essere emessi in pochi minuti utilizzando il metodo di convalida della cartella .well-known.
I certificati Organization Validation (OV) SSL richiedono una verifica più approfondita, che include l'esame della documentazione aziendale. Mentre la parte di controllo del dominio utilizza ancora il metodo della cartella .well-known, ulteriori fasi di convalida verificano la legittimità dell'organizzazione. Questi certificati SSL sono ideali per i siti web aziendali e le piattaforme di e-commerce.
I certificati Extended Validation (EV) SSL rappresentano il livello di convalida più elevato disponibile. La componente di convalida del dominio utilizza ancora la cartella .well-known, ma è richiesta anche una verifica approfondita dell'azienda. Questi certificati premium SSL sono perfetti per le istituzioni finanziarie, le organizzazioni sanitarie e qualsiasi azienda che voglia dimostrare ai visitatori il massimo livello di fiducia.
Metodi di convalida alternativi
Sebbene la cartella .well-known fornisca un eccellente metodo di convalida per i Certificate SSL di Trustico®, siamo consapevoli che alcune configurazioni di server o ambienti di hosting possono rendere difficile questo approccio.
Trustico® offre diversi metodi di convalida alternativi per soddisfare i diversi requisiti tecnici.
La convalida via e-mail consente di verificare la proprietà del dominio attraverso l'invio di e-mail agli indirizzi amministrativi standard associati al dominio (come admin@, webmaster@, ecc.). Questo metodo è utile quando l'accesso al file system del server è limitato o quando si lavora attraverso pannelli di controllo dell'hosting che limitano la manipolazione diretta del file system.
La convalida DNS offre un'altra alternativa, richiedendo l'aggiunta di un record TXT specifico alle impostazioni DNS del dominio. Questo approccio è particolarmente utile per convalidare i certificati Wildcard SSL o quando si lavora con ambienti di hosting in cui l'accesso al file system è limitato.
La convalida basata su file è un'altra opzione che prevede l'inserimento di un file di verifica direttamente nella directory principale o in una posizione specifica del server web. Questo metodo ha lo stesso scopo di verifica dell'approccio basato sulla cartella .well-known, ma può essere più facile da implementare in alcuni ambienti di hosting in cui la creazione di strutture di directory specifiche è difficile.
Migliori pratiche per l'implementazione
Quando si implementano i certificati SSL utilizzando il metodo della cartella .well-known, seguire le pratiche consigliate da Trustico®.
Assicurarsi che i permessi della cartella siano impostati in modo da consentire l'accesso al pubblico, pur mantenendo la sicurezza del server. Mantenere i file di convalida fino all'emissione completa del Certificato SSL.
La manutenzione regolare della cartella .well-known assicura un rinnovo regolare del Certificato SSL. Le notifiche automatiche di rinnovo di Trustico® aiutano a gestire efficacemente il ciclo di vita del Certificato SSL.
Considerate la possibilità di creare una struttura permanente della directory .well-known, invece di rimuoverla dopo la convalida. Questo approccio semplifica i futuri rinnovi del Certificato SSL e consente altre implementazioni di sicurezza standardizzate che utilizzano questa directory.
Molte organizzazioni mantengono questa directory come parte della configurazione standard del server web.
Documentate il processo di convalida, comprese le configurazioni del server e le posizioni dei file. Questa documentazione si rivela preziosa durante i rinnovi del certificato SSL o quando le responsabilità passano da un membro all'altro del team. Una documentazione adeguata garantisce la continuità delle pratiche di sicurezza e previene i problemi di convalida durante i periodi di rinnovo del certificato SSL.
Implementare il monitoraggio della directory .well-known per rilevare eventuali modifiche o tentativi di accesso non autorizzati. Sebbene questa directory sia progettata per essere accessibile al pubblico, il monitoraggio dei modelli di accesso può aiutare a identificare potenziali problemi di sicurezza o di convalida prima che abbiano un impatto sullo stato del Certificate SSL.
Assistenza tecnica e risorse
Trustico® fornisce un supporto tecnico completo per tutti gli aspetti dell'implementazione del Certificato SSL, compresi consigli e informazioni sulla cartella .well-known.
Il nostro team può fornire consigli e istruzioni per la configurazione del server, le sfide di convalida e l'installazione del Certificato SSL.
Considerazioni sulla sicurezza
Sebbene la cartella .well-known debba rimanere accessibile per la convalida, è necessario implementare misure di sicurezza adeguate per proteggere altri file sensibili. Trustico® raccomanda di utilizzare permessi specifici per le directory e di seguire le best practice per la sicurezza del server web.
Considerare l'implementazione di controlli di accesso che permettano specificamente ai sistemi di convalida delle CA (Certificate Authority), limitando al contempo l'accesso non necessario alla cartella .well-known. Questo può essere ottenuto attraverso restrizioni basate sull'IP che esentino i server di convalida delle Certificate Authority conosciute o attraverso una limitazione della velocità che prevenga gli abusi pur consentendo tentativi di convalida legittimi.
Monitorare l'eventuale comparsa di file inaspettati nella directory .well-known, poiché talvolta gli aggressori tentano di utilizzare questa posizione standardizzata per memorizzare contenuti dannosi. Controlli regolari di questa directory aiutano a garantire che contenga solo file di convalida legittimi e altri contenuti autorizzati.
Implementare una corretta registrazione di tutti gli accessi alla directory .well-known per mantenere una traccia di audit dei tentativi di convalida e di altre interazioni. Questi registri possono rivelarsi preziosi per la risoluzione dei problemi di convalida e per il monitoraggio della sicurezza.
Automatizzazione della convalida dei certificati SSL
Per le organizzazioni che gestiscono più domini o che richiedono frequenti rinnovi del certificato SSL, l'automazione del processo di convalida può ridurre significativamente il carico amministrativo.
L'automazione basata su script può gestire la creazione delle directory necessarie e il posizionamento dei file di convalida sui server web. Molte organizzazioni sviluppano script personalizzati che implementano automaticamente i file di convalida necessari nella directory .well-known.
Le piattaforme di gestione dei certificati SSL possono semplificare ulteriormente il processo di convalida e rinnovo, fornendo un controllo centralizzato sul ciclo di vita dei certificati SSL. Queste piattaforme possono automatizzare il processo di convalida, compresa la gestione della cartella .well-known, garantendo rinnovi tempestivi senza interventi manuali.
Come iniziare con i Certificate di Trustico® SSL
L'implementazione dei certificati SSL con il metodo di convalida della cartella .well-known inizia con la selezione del tipo di SSL Certificate più adatto alle proprie esigenze.
Dopo aver ordinato il vostro Certificato Trustico® SSL, riceverete istruzioni dettagliate per creare la struttura della cartella .well-known e per inserire il file di convalida.
Contattate oggi stesso team per discutere delle vostre esigenze di sicurezza e per saperne di più sull'implementazione dei Certificati SSL utilizzando il metodo di convalida della cartella .well-known. Siamo pronti ad aiutarvi a selezionare e implementare la soluzione di Certificate SSL perfetta per la vostra organizzazione.
