Méthodes de validation de contrôle de domaine (DCV)

Avant que DigiCert ne puisse éditer un certificat, vous devez prouver que vous contrôlez les domaines et tous les SAN (Subject alternative Names) de la commande. Cette procédure est intitulée Validation de contrôle du domaine (ou DCV pour Domain Control Validation).

Les certificats DV ne sont pas compatibles avec la pré-validation de domaines. Par conséquent, chaque fois que vous commandez un certificat DV, vous devez démontrer lors de la commande que c’est bien vous qui contrôlez les domaines concernés. Une fois votre commande passée, vous devez finaliser la validation du domaine pour que DigiCert puisse émettre votre certificat DV.

Aucun certificat ne sera émis tant que la validation du domaine n’aura pas été finalisée.

Pour les certificats DV dans CertCentral, DigiCert prend actuellement en charge les méthodes DCV suivantes : E-mail basé sur les informations WHOIS, e-mail construit, DNS TXT et fichier.

Validation par e-mail

Avec cette méthode de validation, DigiCert envoie deux ensembles d’e-mails de DCV : Basés sur les informations WHOIS et Construits. Pour démontrer qu'il contrôle le domaine, le destinataire d’un e-mail doit suivre les instructions de l’e-mail de confirmation envoyé pour le domaine. La procédure de confirmation implique de se rendre sur un lien fourni dans le message et de suivre les instructions indiquées sur la page.

Validation par e-mail basée sur les informations WHOIS

Pour la méthode basée sur les informations WHOIS, DigiCert envoie un e-mail d'autorisation aux propriétaires enregistrés du domaine public tels qu'ils sont indiqués dans les registres WHOIS du domaine.

Vous attendez un e-mail envoyé à une adresse publiée dans les données WHOIS de votre domaine ? Veuillez vérifier que votre registrar/fournisseur WHOIS n’a pas masqué ou supprimé ces informations. Si c’est le cas, cherchez s'ils vous proposent un moyen (adresse e-mail anonymisée, formulaire Web) de permettre aux AC d'accéder aux données WHOIS de votre domaine.

Validation par e-mail construit

S'agissant de la méthode par e-mail construit, DigiCert envoie des e-mails d'autorisation à cinq adresses e-mail construites pour le domaine : admin, administrator, webmaster, hostmaster et postmaster @[domain_name].

Lorsque vous enregistrez un nom de domaine, vous devez fournir des informations d'identité et de contact (contacts techniques et administratifs). Au lieu d'utiliser une adresse e-mail personnelle, vous pouvez également utiliser l’une des adresses e-mail construites pour votre domaine (par ex. webmaster@votredomaine.com). L'utilisation de l’une des adresses e-mail construites vous permet de créer une adresse "qui n’expire jamais" afin d'ajouter ou de supprimer des personnes au besoin.

Si nous ne trouvons pas les données MX pour[domain_name], vous devrez utiliser l'une des autres méthodes de DCV prises en charge pour démontrer que c’est bien vous qui contrôlez le domaine.

Enregistrements MX (Mail Exchanger Records)

Avant de pouvoir envoyer un e-mail d'authentification (e-mail de DCV) au propriétaire du domaine (ou à la personne qui en a le contrôle), nous devons vérifier que les enregistrements MX (un enregistrement de ressources dans le Domain Name System[DNS]) se trouve dans les enregistrements DNS du nom de domaine du destinataire. La présence d’enregistrements MX valides nous permet d’envoyer l’e-mail d'authentification.

Par exemple, mettons que vous souhaitez recevoir votre e-mail de DCV à l’une des adresses e-mail construites pour exemple.com, à savoir admin@exemple.com. Pour envoyer correctement un e-mail de DCV à admin@exemple.com, nous devons d'abord trouver l’enregistrement MX pour ladite adresse qui identifie le serveur (par ex. mailhost.exemple.com) paramétré pour recevoir les e-mails destinés à admin@exemple.com

Si nous trouvons l’enregistrement MX, nous pourrons envoyer l’e-mail de DCV à admin@exemple.com. Si nous ne le trouvons pas, aucun e-mail de DCV n’est envoyé car nous ne pourrons pas identifier le bon serveur de mail.

Validation DNS TXT

Avec cette méthode de validation, vous ajoutez une valeur générée aléatoirement par DigiCert (fourni pour le domaine de votre compte CertCentral) au DNS de votre domaine, sous forme d’enregistrement TXT. Lorsque DigiCert recherche les enregistrements DNS associés au domaine, nous pouvons trouver un enregistrement dont la valeur correspond à la valeur aléatoire générée par DigiCert.

Validation par fichier

Avec cette méthode de validation, vous hébergez un fichier contenant une valeur aléatoire générée par DigiCert (fourni pour le domaine de votre compte CertCentral) à un emplacement prédéterminé de votre site internet : [domaine]/.well-known/pki-validation/fileauth.txt. Une fois le fichier créé et déposé sur votre site, DigiCert se rend à l’URL indiquée pour confirmer la présence de notre valeur aléatoire.

Sujets associés :