Validation du domaine (commande en attente) : Méthodes de validation du contrôle de domaine (DCV)

Avant que DigiCert ne puisse éditer un certificat, vous devez prouver que vous contrôlez les domaines et tous les SAN (Subject alternative Names) de la commande. Cette procédure est intitulée Validation de contrôle du domaine (ou DCV pour Domain Control Validation).

CertCentral propose une procédure de pré-validation de domaine qui vous permet de valider vos domaines avant même de commander des certificats pour ces derniers.(cf : Pré-validation de domaine : méthodes de validation de contrôle de domaine (DCV). Cependant, il peut arriver d'avoir besoin de certificats pour des domaines qui n’ont pas été pré-validés.

CertCentral permet l’envoi de commandes pour des domaines non validés. Après avoir passé votre commande, vous devrez effectuer la validation des domaines des commandes en attente pour tout domaine non validé et concerné par une commande.

Remarque : Aucun certificat ne sera émis tant que la validation du domaine n’aura pas été finalisée. En vous occupant des validations à l’avance, vous vous assurez que vos certificats pourront être émis immédiatement.

Dans CertCentral, DigiCert prend actuellement en charge les méthodes DCV suivantes : E-mail basé sur les informations WHOIS, E-mails construits, DNS CNAME, DNS TXT et démonstration pratique HTTP.

Validation du courriel

Avec cette méthode de validation, DigiCert envoie deux ensembles d’e-mails de DCV : Basés sur les informations WHOIS et Construits. Pour démontrer qu'il contrôle le domaine, le destinataire d’un e-mail doit suivre les instructions de l’e-mail de confirmation envoyé pour le domaine. La procédure de confirmation implique de se rendre sur un lien fourni dans le message et de suivre les instructions indiquées sur la page.

Validation par e-mail basée sur les informations WHOIS

Pour la méthode basée sur les informations WHOIS, DigiCert envoie un e-mail d'autorisation aux propriétaires enregistrés du domaine public tels qu'ils sont indiqués dans les registres WHOIS du domaine.

Remarque : Vous attendez un e-mail envoyé à une adresse publiée dans les données WHOIS de votre domaine ? Veuillez vérifier que votre registrar/fournisseur WHOIS n’a pas masqué ou supprimé ces informations. Si c’est le cas, cherchez s'ils vous proposent un moyen (adresse e-mail anonymisée, formulaire Web) de permettre aux AC d'accéder aux données WHOIS de votre domaine.

Validation par e-mail construit

S'agissant de la méthode par e-mail construit, DigiCert envoie des e-mails d'autorisation à cinq adresses e-mail construites pour le domaine : admin, administrator, webmaster, hostmaster et postmaster @[domain_name].

Remarque : Lorsque vous enregistrez un nom de domaine, vous devez fournir des informations d'identité et de contact (contacts techniques et administratifs). Au lieu d'utiliser une adresse e-mail personnelle, vous pouvez également utiliser l’une des adresses e-mail construites pour votre domaine (par ex. webmaster@votredomaine.com). L'utilisation de l’une des adresses e-mail construites vous permet de créer une adresse "qui n’expire jamais" afin d'ajouter ou de supprimer des personnes au besoin.

Si nous ne trouvons pas les données MX pour[domain_name], vous devrez utiliser l'une des autres méthodes de DCV prises en charge pour démontrer que c’est bien vous qui contrôlez le domaine.

Enregistrements MX (Mail Exchanger Records)

Avant de pouvoir envoyer un e-mail d'authentification (e-mail de DCV) au propriétaire du domaine (ou à la personne qui en a le contrôle), nous devons vérifier que les enregistrements MX (un enregistrement de ressources dans le Domain Name System[DNS]) se trouve dans les enregistrements DNS du nom de domaine du destinataire. La présence d’enregistrements MX valides nous permet d’envoyer l’e-mail d'authentification.

Par exemple, mettons que vous souhaitez recevoir votre e-mail de DCV à l’une des adresses e-mail construites pour exemple.com, à savoir admin@exemple.com. Pour envoyer correctement un e-mail de DCV à admin@exemple.com, nous devons d'abord trouver l’enregistrement MX pour ladite adresse qui identifie le serveur (par ex. mailhost.exemple.com) paramétré pour recevoir les e-mails destinés à admin@exemple.com

Si nous trouvons l’enregistrement MX, nous pourrons envoyer l’e-mail de DCV à admin@exemple.com. Si nous ne le trouvons pas, aucun e-mail de DCV n’est envoyé car nous ne pourrons pas identifier le bon serveur de mail.

Validation par DNS CNAME

Avec cette méthode de validation, vous ajoutez un jeton généré par DigiCert (fourni pour le domaine de votre compte CertCentral) au DNS de votre domaine, sous forme d’enregistrement CNAME. Ensuite, vous ajouterez dcv.digicert.com en tant que cible CNAME.

Validation DNS TXT

Avec cette méthode de validation, vous ajoutez un jeton généré aléatoirement par DigiCert (fourni pour le domaine de votre compte CertCentral) au DNS de votre domaine, sous forme d’enregistrement TXT. Lorsque DigiCert recherche les enregistrements DNS associés au domaine, nous pouvons trouver un enregistrement dont la valeur correspond au jeton de validation généré par DigiCert.

Validation par démonstration pratique HTTP

Avec cette méthode de validation, vous hébergez un fichier contenant un jeton généré par DigiCert (fourni pour le domaine de votre compte CertCentral) à un emplacement prédéterminé de votre site internet :[domaine]/.well-known/pki-validation/[nomdefichier].txt). Une fois le fichier créé et déposé sur votre site, DigiCert se rend à l’URL indiquée pour confirmer la présence de notre jeton de validation.