Erreurs courantes : Méthode DCV par démonstration pratique HTTP
Pour valider votre domaine à l’aide de la méthode DCV par démonstration pratique HTTP, vous avez besoin de deux éléments :
Une valeur aléatoire fournie par DigiCert.
A DigiCert-generated unique filename (for HTTP Practical Demonstration with unique filename only).
L’URL ou l’emplacement sur votre site Web du fichier fileauth.txt contenant la valeur aléatoire : http://[your-domain]/.well-known/pki-validation/fileauth.txt.
http://[domain-name]/.well-known/pki-validation/fileauth.txt.
http://{domain-name}/.well-known/pki-validation/{unique-filename}.txt
L’URL contient deux éléments :
le nom complet du domaine (Fully Qualified Domain Name, FQDN) ) que vous souhaitez que l’on valide ;
l’emplacement du fichier fileauth.txt auquel vous avez ajouté la valeur aléatoire générée.
Vous trouverez ci-dessous quelques-uns des problèmes les plus couramment observés à lorsque l’on cherche les causes d’un échec de démonstration pratique HTTP. Le processus DCV basé sur la démonstration HTTP pratique est conçu pour empêcher une personne non autorisée à utiliser un domaine dont elle a le contrôle pour valider et obtenir un certificat pour un domaine dont elle n’a pas le contrôle, par exemple, l’un des vôtres.
Ne pas modifier l'URL fournie
Si vous modifiez l’URL de quelque manière que ce soit (en changeant le FQDN, en utilisant une majuscule au lieu d’une minuscule ou en omettant d’ajouter un point, etc.), nous ne pourrons pas retrouver le fichier fileauth.txt contenant la valeur aléatoire que nous avons générée.
Par exemple, si nous vous fournissons l’URL suivante : [http://votre-domaine]/.well-known/pki-validation/fileauth.txt, n’y ajoutez pas www ([http://www.votre-domaine]/.well-known/pki-validation/fileauth.txt), n’ajoutez pas de majuscule là où il n'y en avait pas sur l’URL d'origine ([http://votre-domaine]/.well-known/PKI -validation/fileauth.txt).
Ne placez pas le fichier fileauth.txt sur un domaine ou sous-domaine différent
Pour valider le contrôle de votre domaine [votredomaine], placez le fichier fileauth.txt sur le domaine exact que vous souhaitez faire valider, celui pour lequel nous avons généré l’URL. Nous ne rechercherons pas le jeton aléatoire dans un domaine ou sous-domaine différent. Nous vérifierons uniquement sur le domaine dont vous demandez la validation (typiquement celui de votre commande de certificat).
Par exemple, si vous souhaitez faire valider [votre-domaine], nous générons une URL pour ce domaine – [http://votredomaine]/.well-known/pki-validation/fileauth.txt.
Ne déposez pas le fichier fileauth.txt sur sub.votredomaine.com et n’essayez pas de modifier l’URL et de déposer le fichier sur [votre-autre-domaine], car cela ne fonctionnera pas. Nous ne pouvons pas retrouver le fichier fileauth.txt sur ces domaines. Nous le cherchons sur [votre-domaine], le domaine de votre commande de certificat ou le domaine que vous avez soumis pour pré-validation.
[votre-domaine] et www.[votre-domaine]
Pour prévalider www.[votre-domaine] et [votre-domaine], vous devez valider www.[votre-domaine] et [votre-domaine] séparément. Au 16 novembre 2021, vous ne pouvez utiliser que la méthode DCV par fichier pour prouver le contrôle d’un nom de domaine absolu (fully qualified domain name, FQDN), exactement tel qu’il est nommé. Pour en savoir plus sur ces modifications, consultez l’article Changements en matière de politique de validation de domaines en 2021 sur notre base de connaissances.
SAN de domaine de base gratuit
Si vous avez reçu un SAN gratuit du domaine de base sur votre certificat SSL, assurez-vous de déposer le fichier fileauth.txt sur le domaine de base. Nous devons valider le domaine de la commande de certificat SSL/TLS.
Ne pas inclure de contenu supplémentaire dans le fichier fileauth.txt
Lorsque vous créez le fichier fileauth.txt, copiez et collez la valeur aléatoire du jeton fourni par DigiCert dans le fichier. N’ajoutez pas le mot « jeton » ni aucun autre élément de texte.
Comme nous ne lisons que les premiers 2 ko du fichier fileauth.txt, tout texte supplémentaire nous empêcherait de vérifier que vous contrôlez le domaine.
Ne placez pas le fichier fileauth.txt sur une page comportant plusieurs redirections
Lorsque vous utilisez la méthode basée sur la démonstration HTTP pratique pour valider les domaines, le fichier fileauth.txt peut être placé sur une page contenant une seule redirection. Lorsqu’il y a qu’une seule redirection, nous sommes en mesure de repérer le fichier fileauth.txt et de vérifier que vous contrôlez le domaine.
Par exemple, vous avez besoin d’un certificat pour http://exemple.com, mais la page vous redirige vers https://www.exemple.com. Cela ne pose pas de problème. Placez le fichier fileauth.txt sur la page http://exemple.com. Nous serons toujours en mesure de suivre la redirection unique pour vérifier que vous contrôlez le domaine.
En revanche, si vous placez le fichier fileauth.txt sur une page comportant plusieurs redirections, nous ne pourrons pas repérer le fichier. Les redirections multiples nous empêchent de repérer le fichier fileauth.txt et de vérifier que vous contrôlez le domaine.
Par exemple, vous avez besoin d’un certificat pour http://multiple-redirect.com, mais la page vous redirige vers https://www.multiple-redirect.com, puis vers https://www.single-redirect.com. Dans ce cas, vous devez toujours placer le fichier fileauth.txt sur la page http://multiple-redirect.com. En revanche, vous devrez désactiver la deuxième redirection (https://www.single-redirect.com) suffisamment à l’avance pour nous permettre de repérer le fichier fileauth.txt et vérifier que vous contrôlez le domaine http://multiple-redirect.com.