Skip to main content

Erreurs courantes liées à la méthode DCV par démonstration HTTP pratique

Pour valider votre domaine à l’aide de la méthode DCV par démonstration pratique HTTP, vous avez besoin de deux éléments :

  1. Une valeur aléatoire fournie par DigiCert).

  2. L’URL ou l’emplacement sur votre site Web du fichier fileauth.txt contenant la valeur aléatoire, par exemple : http://[votredomaine.com]/.well-known/pki-validation/fileauth.txt.

L’URL (http://[votredomaine.com]/.well-known/pki-validation/fileauth.txt) contient deux éléments :

  • le nom complet du domaine (Fully Qualified Domain Name, FQDN) ) que vous souhaitez que l’on valide ;

  • l’emplacement du fichier fileauth.txt auquel vous avez ajouté la valeur aléatoire générée.

Vous trouverez ci-dessous quelques-unes des erreurs les plus courantes parmi celles que nous rencontrons lorsque nous dépannons les échecs de vérification de fichier. Le processus DCV basé sur la démonstration HTTP pratique est conçu pour empêcher une personne non autorisée à utiliser un domaine dont elle a le contrôle pour valider et obtenir un certificat pour un domaine dont elle n’a pas le contrôle, par exemple, l’un des vôtres.

Ne pas modifier l’URL fournie par DigiCert

Si vous modifiez l’URL de quelque manière que ce soit (en changeant le FQDN, en utilisant une majuscule au lieu d’une minuscule ou en omettant d’ajouter un point, etc.), nous ne pourrons pas retrouver le fichier fileauth.txt contenant la valeur aléatoire que nous avons générée.

Par exemple, dans l’URL suivante : [http://votredomaine.com]/.well-known/pki-validation/fileauth.txt, n'y ajoutez pas www ([http://]www.votredomaine.com]/.well-known/pki-validation/fileauth.txt), ne mettez pas de majuscules là où il n’y en avait pas dans l’URL originale ([http://[votredomaine.com]/.well-known/PKI-validation/fileauth.txt).

Ne pas placer le fichier fileauth.txt sur un domaine ou sous-domaine différent

Pour valider le contrôle de votre domaine « votredomaine.com », placez le fichier fileauth.txt sur le domaine exact que vous souhaitez faire valider. Nous ne recherchons pas la valeur aléatoire dans un domaine ou sous-domaine différent. Nous ne regardons que le domaine que vous souhaitez valider (c.-à-d. le domaine de votre commande de certificat).

Par exemple, si vous devez faire valider [votredomaine].com, vous utiliserez cette URL pour ce domaine : http://[votredomaine].com/.well-known/pki-validation/fileauth.txt. Ne déposez pas le fichier fileaut.txt sur sub.[votredomaine].com, ne modifiez pas l’URL et ne le déposez pas sur [votreautredomaine].com, car cela ne fonctionnera pas. Nous ne pouvons pas retrouver le fichier fileaut.txt sur ces domaines. Nous le recherchons sur [votredomaine].com, le domaine indiqué sur la commande de certificat.

[votre-domaine] et www.[votre-domaine]

Pour valider www.[votre-domaine] et [votre-domaine], vous devez déposer le fichier fileauth.txt à la fois sur www.[votre-domaine] et sur [votre-domaine]. Au 16 novembre 2021, vous ne pouvez utiliser que la méthode DCV par fichier pour prouver le contrôle d’un nom de domaine absolu (fully qualified domain name, FQDN), exactement tel qu’il est nommé. Pour en savoir plus sur cette modification, consultez l’article Changements en matière de politique de validation de domaines en 2021 sur notre base de connaissances.

SAN de domaine de base gratuit

Si vous avez reçu gratuitement un nom SAN pour le domaine de base de votre certificat SSL/TLS, veillez à bien placer le fichier fileauth.txt sur le domaine de base. Nous devons valider le domaine de la commande de certificat SSL/TLS.

Ne pas inclure de contenu supplémentaire dans le fichier fileauth.txt

Lorsque vous créez le fichier fileauth.txt, copiez et collez la valeur aléatoire fournie par DigiCert dans le fichier. N’ajoutez pas le mot « token » ou « jeton » ni aucun autre élément de texte.

Comme nous ne lisons que les premiers 2 ko du fichier fileauth.txt, tout texte supplémentaire nous empêcherait de vérifier que vous contrôlez le domaine.

Ne pas placer le fichier fileauth.txt sur une page comportant plusieurs redirections

Lorsque vous utilisez la méthode DCV basée sur la démonstration HTTP pratique, le fichier fileauth.txt peut être placé sur une page contenant une seule redirection. Dans ce cas, nous sommes en mesure de repérer le fichier fileauth.txt et de vérifier le contrôle du domaine.

Par exemple, vous avez besoin d’un certificat pour http://exemple.com, mais la page vous redirige vers https://www.exemple.com. Cela ne pose pas de problème. Vous pouvez placer le fichier fileauth.txt sur la page http://example.com. Nous serons toujours en mesure de suivre la redirection unique pour vérifier que vous contrôlez le domaine.

En revanche, si vous placez le fichier fileauth.txt sur une page comportant plusieurs redirections, nous ne pourrons pas repérer le fichier. Les redirections multiples nous empêchent de repérer le fichier fileauth.txt et de vérifier que vous contrôlez le domaine.

Par exemple, vous avez besoin d’un certificat pour http://multiple-redirect.com, mais la page vous redirige vers https://www.multiple-redirect.com, puis vers https://www.single-redirect.com. Dans ce cas, vous devez toujours placer le fichier fileauth.txt sur la page http://multiple-redirect.com. En revanche, vous devez désactiver la deuxième redirection (https://www.single-redirect.com) suffisamment à l’avance pour nous permettre de repérer le fichier fileauth.txt et vérifier que vous contrôlez le domaine http://multiple-redirect.com.