Prouver le contrôle des domaines d’une commande de certificat en attente

Avant que DigiCert puisse émettre un certificat SSL/TLS, vous devez prouver que vous contrôlez les domaines et tous les noms SAN (Subject alternative Names) supplémentaires de la commande. Nous appelons ce processus « Validation du contrôle de domaine » (Domain Control Validation, DCV).

Après avoir commandé un certificat SSL/TLS, vous choisissez la méthode de validation à utiliser pour prouver que vous contrôlez les domaines de votre commande. Ensuite, vous procédez à la validation du contrôle de domaine à l’aide de cette méthode. Vous avez toujours la possibilité d’utiliser une autre méthode de validation si nécessaire.

DigiCert n’émettra aucun certificat tant que le contrôle du domaine n’est pas validé.

Dans CertCentral, DigiCert accepte actuellement les méthodes DCV suivantes : les courriers électroniques (« WHOIS » et « Construits »), l’enregistrement DNS CNAME, l’enregistrement DNS TXT et la démonstration pratique HTTP.

  1. Méthode DCV par courrier électronique

    Dans le cas de cette méthode de validation, DigiCert envoie deux courriers DCV : un courrier « WHOIS » et un courrier « construit ». Pour prouver le contrôle du domaine, le destinataire du courrier électronique suit les instructions contenues dans le courrier de confirmation envoyé pour le domaine. Le processus de confirmation consiste à suivre le lien fourni dans le courrier et les instructions affichées sur la page.

    Validation par courrier électronique « WHOIS »

    En ce qui concerne la méthode « WHOIS », DigiCert envoie un courrier électronique d’autorisation aux propriétaires enregistrés du domaine public, répertoriés dans les données WHOIS du domaine.

    Vous pensez recevoir un courrier électronique à une adresse publiée dans les données WHOIS de votre domaine ? Nous vous recommandons de vérifier que votre fournisseur de registre ou de service WHOIS n’a pas masqué ou retiré cette information. Si tel est le cas, renseignez-vous pour savoir s’il existe un moyen (tel qu’une adresse électronique anonyme ou un formulaire web) de permettre aux autorités de certification (AC) d’accéder aux données WHOIS de votre domaine.

    Validation par courrier électronique construit

    En ce qui concerne la méthode de validation par courrier électronique construit, DigiCert envoie un courrier électronique d’autorisation à cinq adresses électroniques construites pour le domaine : admin, administrateur, webmaster, hostmaster et postmaster @[domain_name].

    Lorsque vous enregistrez un domaine, vous devez fournir des informations d’identification et de contact, (par ex., des contacts administratifs et techniques). Au lieu d’utiliser une adresse électronique personnelle, vous pouvez utiliser l’une des adresses construites pour votre domaine (par ex., webmaster@votredomaine.com). L’utilisation de l’une des adresses électroniques construites vous permet de créer une adresse "sans délai d’expiration" pour lesquelles vous pouvez ajouter ou supprimer des destinataires lorsque cela s’avère nécessaire.

    Si nous ne parvenons pas trouver d’enregistrement MX pour [domain_name],[domain_name], vous devez utiliser l’une des méthodes DCV acceptées pour prouver que vous contrôlez le domaine.

    Enregistrements MX (Enregistrements Mail Exchanger)

    Avant de pouvoir envoyer un courrier électronique d’authentification (courrier DCV) au propriétaire du domaine, (ou contrôleur de domaine), nous devons vérifier qu’un enregistrement MX (enregistrement de ressource dans le système de nom de domaine[(DNS]) existe parmi les enregistrements DNS du nom de domaine du destinataire. La présence d’enregistrements MX valides nous permet d’envoyer le courrier électronique d’authentification.

    C’est le cas, par exemple, si vous souhaitez recevoir votre courrier DCV à l’une des adresses électroniques construites pour exemple.com et admin@exemple.com. Pour envoyer un courrier DCV à l’adresse admin@exemple.com, nous devons d’abord trouver un enregistrement MX pour l’adresse permettant d’identifier le serveur (par ex., mailhost.exemple.com) configuré pour recevoir les courriers adressés à admin@exemple.com.

    Si nous trouvons un enregistrement MX, nous sommes alors en mesure d’envoyer un courrier DCV à l’adresse admin@exemple.com. Dans le cas contraire, aucun courrier DCV ne peut être envoyé puisqu’il est impossible d’identifier le bon serveur de messagerie.

  1. Méthode DCV par enregistrement DNS CNAME

    Cette méthode de validation permet d’ajouter un jeton généré par DigiCert (pour le domaine de votre compte CertCentral) au DNS du domaine en tant qu’enregistrement CNAME. Vous ajoutez ensuite dcv.digicert.com comme cible CNAME.

  1. Méthode DCV par enregistrement DNS TXT

    Cette méthode de validation permet d’ajouter un jeton généré par DigiCert (pour le domaine de votre compte CertCentral) au DNS du domaine en tant qu’enregistrement TXT. Lorsque DigiCert recherche les enregistrements DNS TXT associés au domaine, nous pouvons trouver un enregistrement dont la valeur inclut le jeton de vérification DigiCert.

  1. Méthode DCV par démonstration http pratique

    Dans le cas de cette méthode de validation, vous hébergez un fichier contenant un jeton généré par DigiCert (pour le domaine de votre compte CertCentral) dans un emplacement prédéterminé sur votre site Web ([domain]/.well-known/pki-validation/[filename].txt). Une fois le fichier crée et placé sur votre site, DigiCert y accède via l’URL spécifiée pour vérifier la présence du jeton de vérification que nous avons généré.