Erreurs courantes concernant la méthode DCV basée sur fichier

Pour valider votre domaine à l’aide de la méthode DCV par fichier, vous avez besoin de deux éléments : 1) une valeur aléatoire (fournie par DigiCert), et 2) l’URL ou l’emplacement sur votre site Web du fichier fileauth.txt contenant la valeur aléatoire (par ex., http://[votredomaine.com]/.well-known/pki-validation/fileauth.txt).

L’URL (http://[votredomaine.com]/.well-known/pki-validation/fileauth.txt) contient deux éléments :

  • le nom complet du domaine (Fully Qualified Domain Name, FQDN) que vous souhaitez que l’on valide ;
  • l’emplacement du fichier fileauth.txt auquel vous avez ajouté la valeur aléatoire générée.

Vous trouverez ci-dessous quelques-unes des erreurs les plus courantes parmi celles que nous rencontrons lorsque nous dépannons les échecs de vérification de fichier. Le processus DCV basé sur fichier est conçu pour empêcher une personne non autorisée à utiliser un domaine dont elle a le contrôle pour valider et obtenir un certificat pour un domaine dont elle n’a pas le contrôle, par exemple, l’un des vôtres.

Ne pas modifier l’URL fournie par DigiCert

Si vous modifiez l’URL de quelque manière que ce soit (en changeant le FQDN, en utilisant une majuscule au lieu d’une minuscule ou en omettant d’ajouter un point, etc.), nous ne pourrons pas retrouver le fichier fileauth.txt contenant la valeur aléatoire que nous avons générée.

Par exemple, dans l’URL suivante : [http://votredomaine.com]/.well-known/pki-validation/fileauth.txt, n’ajoutez pas www ([http://]www.votredomaine.com]/.well-known/pki-validation/fileauth.txt) et n’utilisez pas non plus de majuscule si l’URL originale n’en contient pas ([http://[votredomaine.com]/.well-known/PKI-validation/fileauth.txt).

Ne pas placer le fichier fileauth.txt sur un domaine ou sous-domaine différent

Pour valider le contrôle de votre domaine « votredomaine.com », placez le fichier fileauth.txt sur le domaine exact que vous souhaitez faire valider (celui qui figure sur votre commande de certificat). Nous ne recherchons pas la valeur aléatoire dans un domaine ou sous-domaine différent. Nous ne regardons que le domaine que vous souhaitez valider (c.-à-d. le domaine de votre commande de certificat).

Par exemple, si vous devez faire valider[votredomaine].com, vous utiliserez cette URL : http://[votredomaine].com/.well-known/pki-validation/fileauth.txt. Ne placez pas le fichier fileaut.txt sur sub.[votredomaine].com et ne modifiez pas non plus l’URL. Placez-le sur[votreautredomaine].com, sinon cela ne fonctionnera pas. Nous ne pouvons pas retrouver le fichier fileaut.txt sur ces domaines. Nous le recherchons sur[votredomaine].com, le domaine de votre commande de certificat.

exemple.com et www.exemple.com

Si vous souhaitez que DigiCert valide www.exemple.com et exemple.com, placez le fichier fileauth.txt sur exemple.com. De cette façon, exemple.com et www.exemple.com seront tous les deux validés. Nous ne rechercherons pas le fichier fileauth.txt sur www.exemple.com.

Nom SAN gratuit pour le domaine de base

Si vous avez reçu gratuitement un nom SAN pour le domaine de base de votre certificat SSL/TLS, veillez à bien placer le fichier fileauth.txt sur le domaine de base. Nous devons valider le domaine de la commande de certificat SSL/TLS.

Ne pas inclure de contenu supplémentaire dans le fichier fileauth.txt

Lorsque vous créez le fichier fileauth.txt, copiez et collez la valeur aléatoire fournie par DigiCert dans le fichier. N’ajoutez pas le mot "token" (jeton),, "value" (valeur) ni aucun autre élément de texte.

Comme nous ne lisons que les premiers 2 ko du fichier fileauth.txt, tout texte supplémentaire nous empêcherait de vérifier que vous contrôlez le domaine.

Ne pas placer le fichier fileauth.txt sur une page comportant plusieurs redirections

Lorsque vous utilisez la méthode basée sur fichier pour valider les domaines, le fichier fileauth.txt peut être placé sur une page ne contenant qu’une seule redirection. Dans ce cas, nous sommes en mesure de repérer le fichier fileauth.txt et de vérifier le contrôle du domaine.

Par exemple, vous avez besoin d’un certificat pour http://exemple.com, mais la page vous redirige vers https://www.exemple.com. Cela ne pose pas de problème. Vous pouvez placer le fichier fileauth.txt sur la page http://example.com. Nous serons toujours en mesure de suivre la redirection unique pour vérifier que vous contrôlez le domaine.

En revanche, si vous placez le fichier fileauth.txt sur une page comportant plusieurs redirections, nous ne pourrons pas repérer le fichier. Les redirections multiples nous empêchent de repérer le fichier fileauth.txt et de vérifier que vous contrôlez le domaine.

Par exemple, vous avez besoin d’un certificat pour http://multiple-redirect.com, mais la page vous redirige vers https://www.multiple-redirect.com, puis vers https://www.single-redirect.com. Dans ce cas, vous devez toujours placer le fichier fileauth.txt sur la page http://multiple-redirect.com. En revanche, vous devrez désactiver la deuxième redirection (https://www.single-redirect.com) suffisamment à l’avance pour nous permettre de repérer le fichier fileauth.txt et vérifier que vous contrôlez le domaine http://multiple-redirect.com.