Skip to main content

Méthodes DCV prises en charge pour la validation des domaines sur les commandes de certificats TLS/SSL OV/EV.

Prouver le contrôle des domaines d’une commande de certificat en attente TLS/SSL EV ou OV.

Avant que DigiCert puisse émettre un certificat SSL/TLS, vous devez prouver que vous contrôlez les domaines et tous les noms SAN (Subject alternative Names) supplémentaires de la commande de certificat. Nous appelons ce processus « Validation du contrôle de domaine » (Domain Control Validation, DCV).

DigiCert accepte actuellement les méthodes DCV suivantes :

  • Adresse e-mail « WHOIS »

  • Adresse e-mail construite

  • Courriel au contact DNS TXT

  • DNS CNAME

  • DNS TXT

  • Démonstration HTTP pratique (également appelé Fichier ou FileAuth).

Important

Les normes en vigueur dans l'industrie empêchent les autorités de certification (AC), telles que DigiCert, d'émettre un certificat SSL/TLS tant que la validation du contrôle de domaine n'est pas terminée.

Lorsque vous commandez un certificat, vous sélectionner une méthode DCV pour prouver le contrôle de votre domaine dans la commande. Sur la page Order details (Détails de la commande) du certificat, utilisez la méthode DCV sélectionnée lors du processus de commande pour finaliser la validation du domaine. Vous avez toujours la possibilité d’utiliser une autre méthode de validation si nécessaire.

Avis

Prévalidation de domaine

CertCentral propose une procédure de pré-validation de domaine qui vous permet de valider vos domaines avant même de commander des certificats pour ces derniers. Consultez la page Pré-validation de domaine Méthodes de validation de contrôle de domaine (Domain Control Validation, DCV) :.

En validant le domaine à l'avance, il est possible d'accélérer l'émission des certificats. La validation préalable de domaine est nécessaire pour l'émission immédiate du certificat. Consultez la page Émission instantanée des certificats OV/EV.

Méthode DCV par e-mail

Dans le cas de cette méthode de validation, DigiCert envoie trois courriers DCV : À partir du WHOIS, construit, et à partir du DNS TXT.

Pour prouver le contrôle du domaine, le destinataire de l'e-mail suit les instructions contenues dans le courrier de confirmation envoyé pour le domaine. Le processus de confirmation consiste à suivre le lien fourni et les instructions affichées sur la page.

Consultez la page Utiliser la méthode de validation par e-mail pour vérifier le contrôle du domaine.

Méthode DCV par e-mail basée sur le WHOIS

En ce qui concerne la méthode « WHOIS », DigiCert envoie un e-mail d’autorisation aux propriétaires enregistrés du domaine public, répertoriés dans les données WHOIS du domaine.

Important

Vous pensez recevoir un e-mail à une adresse publiée dans les données WHOIS de votre domaine ?

Vérifiez que votre fournisseur de registre ou de service WHOIS n’a pas masqué ou retiré cette information. Dans le cas où elle est masquée, renseignez-vous pour savoir s’il existe un moyen (tel qu’une adresse e-mail anonyme ou un formulaire web) de permettre aux autorités de certification (AC) d’accéder aux données WHOIS de votre domaine.

Méthode DCV par e-mail « Constructed »

En ce qui concerne la méthode de validation par e-mail construit, DigiCert envoie un e-mail d’autorisation à cinq adresses e-mail construites pour le domaine : admin, administrateur, webmaster, hostmaster et postmaster @[domain_name].

Avis

Lorsque vous enregistrez un domaine, vous devez fournir des informations de contact, (par ex., des contacts administratifs et techniques).

Au lieu d’utiliser une adresse e-mail personnelle, vous pouvez utiliser l’une des adresses construites pour votre domaine (par ex., webmaster@votredomaine.com). L’utilisation de l’une des adresses e-mail construites vous permet de créer une adresse « sans délai d’expiration » pour lesquelles vous pouvez ajouter ou supprimer des destinataires lorsque cela s’avère nécessaire.

Si nous ne trouvons pas d’enregistrement MX pour [domain_name], vous devez utiliser l’une des méthodes DCV acceptées pour prouver que vous contrôlez le domaine.

Enregistrements MX (Enregistrements Mail Exchanger)

Avant de pouvoir envoyer un e-mail d’authentification (courrier DCV) au propriétaire du domaine, (ou contrôleur de domaine), nous devons vérifier qu’un enregistrement MX (enregistrement de ressource dans le Domain Name System [DNS]) existe dans les enregistrements DNS du nom de domaine du destinataire. La présence d’enregistrements MX valides nous permet d’envoyer l'e-mail d’authentification.

C’est le cas, par exemple, si vous souhaitez recevoir votre courrier DCV à l’une des adresses e-mail construites pour exemple.com et admin@exemple.com. Pour envoyer un courrier DCV à l’adresse admin@exemple.com, nous devons d’abord trouver un enregistrement MX pour l’adresse permettant d’identifier le serveur (par ex., mailhost.exemple.com) configuré pour recevoir les courriers adressés à admin@exemple.com.

Si nous trouvons un enregistrement MX, nous sommes alors en mesure d’envoyer un courrier DCV à l’adresse admin@exemple.com. Dans le cas contraire, aucun courrier DCV ne peut être envoyé puisqu’il est impossible d’identifier le bon serveur de messagerie.

Méthode DCV par e-mail au contact DNS TXT

Pour la méthode DCV par e-mail au contact DNS TXT, DigiCert envoie un e-mail d'autorisation aux adresses e-mail trouvées dans l’enregistrement DNS TXT du sous-domaine _validation-contactemail du domaine en cours de validation.

Avis

Pour utiliser la méthode DCV Email to DNS TXT contact (Contact via l’e-mail déclaré dans le DNS TXT), assurez-vous de choisir la méthode DCV Verification Email (E-mail de vérification) lors de la commande d'un certificat ou du changement de méthode DCV pour un domaine.

Contacts e-mail de l’enregistrement DNS TXT

Pour utiliser la méthode DCV de contact à l’e-mail déclaré dans le DNS TXT, vous devez placer l’enregistrement DNS TXT sur le sous-domaine _validation-contactemail du domaine que vous souhaitez valider. La valeur RDATA de cet enregistrement texte doit être une adresse e-mail valide.

Nom

TTL

Message

_validation-contactemail

Défaut

validatedomain@digicerttest.com

Reportez-vous à la section B.2.1 Contact par e-mail à l’enregistrement DNS TXT dans l’indexe des exigences de base.

Méthode DCV par enregistrement DNS CNAME

Ajoutez un jeton généré par DigiCert (pour le domaine de votre compte CertCentral) au DNS du domaine en tant qu’enregistrement CNAME. Ajoutez ensuite dcv.digicert.com comme cible CNAME. Lorsque DigiCert recherche les enregistrements DNS CNAME associés au domaine, nous pouvons trouver un enregistrement qui inclut le jeton de vérification DigiCert.

Consultez Utiliser la méthode de validation par DNS CNAME pour vérifier le contrôle du domaine.

Méthode DCV par enregistrement DNS TXT

Ajoutez un jeton généré par DigiCert (pour le domaine de votre compte CertCentral) au DNS du domaine en tant qu’enregistrement TXT. Lorsque DigiCert recherche les enregistrements DNS TXT associés au domaine, nous pouvons trouver un enregistrement qui inclut le jeton de vérification DigiCert.

Voir Utiliser la méthode de validation par DNS TXT pour vérifier le contrôle du domaine

Méthode DCV par démonstration HTTP pratique (également appelé Fichier ou FileAuth).

Hébergez un fichier contenant une valeur aléatoire générée par DigiCert (fourni pour le domaine de votre compte CertCentral) à un emplacement prédéterminé de votre site internet : [votre-domaine]/.well-known/pki-validation/fileauth.txt. Une fois le fichier créé et déposé sur votre site, DigiCert se rend à l’URL indiquée pour confirmer la présence de notre valeur aléatoire.

Consultez Utiliser la méthode de validation par démonstration pratique HTTP pour vérifier le contrôle du domaine.