Erreurs courantes : Méthode DCV par démonstration pratique HTTP

Pour valider votre domaine à l’aide de la méthode de validation DCV par démonstration pratique HTTP, DigiCert fournit une URL et une valeur pour le jeton. L’URL a deux fonctions :

  • Elle contient le FQDN (fully qualified domain name, c’est-à-dire nom de domaine pleinement qualifié) du domaine que vous souhaitez que nous validions.
  • Elle nous dit où chercher de sorte que nous puissions trouver le fichier verificationtoken.txt auquel vous ajoutez la valeur générée aléatoirement.

Vous trouverez ci-dessous quelques-uns des problèmes les plus couramment observés à lorsque l’on cherche les causes d’un échec de démonstration pratique HTTP. La procédure de DCV par démonstration pratique HTTP est conçue pour empêcher tout individu non autorisé d’utiliser un domaine dont ils ont effectivement le contrôle pour le valider et obtenir un certificat pour un domaine dont ils n'ont pas le contrôle (par exemple l’un des vôtres).

Ne modifiez pas l’URL fournie

Si vous modifiez l’URL d'une quelconque manière (modification du FQDN, remplacement d'une lettre minuscule par une majuscule, oubli d’un point, etc.), nous ne trouverons pas le fichier verificationtoken.txt contenant notre valeur aléatoire.

Par exemple, si nous vous fournissons l’URL suivante : [http://votredomaine.com]/.well-known/pki-validation/verificationtoken.txt, n’ajoutez pas de www devant ([http://www.votredomaine.com]/.well-known/pki-validation/verificationtoken.txt) et ne remplacez pas de minuscule par une majuscule dans l’URL originale ([http://votredomaine.com]/.well-known/PKI-validation/verificationtoken.txt).

Ne déposez pas le fichier verificationtoken.txt sur un autre domaine ou sous-domaine

Pour terminer la validation de contrôle de domaine de votredomaine.com, déposez le fichier verificationtoken.txt sur le domaine exact dont vous demandez la validation, celui pour lequel nous générons l’URL. Nous ne chercherons notre jeton aléatoire sur aucun autre domaine ou sous-domaine. Nous vérifierons uniquement sur le domaine dont vous demandez la validation (typiquement celui de votre commande de certificat).

Par exemple, si vous avez besoin de valider votredomaine.com pour pouvoir demander un certificat TLS/SSL pour ce dernier, nous générons une URL pour ce domaine – [http://votredomaine.com]/.well-known/pki-validation/verificationtoken.txt. Ne déposez pas le fichier verificationtoken.txt sur sub.votredomaine.com et n’essayez pas de modifier l’URL et de déposer le fichier sur votreautredomaine.com, car cela ne fonctionnera pas. Nous ne pourrons pas trouver le fichier verificationtoken.txt sur ces domaines, mais seulement sur votredomaine.com.

votredomaine.com et www.votredomaine.com

Si vous souhaitez que nous validions à la fois www.votredomaine.com et votredomaine.com, déposez le fichier verificationtoken.txt sur votredomaine.com. Cela validera à la fois votredomaine.com et www.votredomaine.com. Nous ne chercherons pas le fichier verificationtoken.txt sur www.votredomaine.com.

SAN gratuit du domaine de base.

Si vous avez reçu un SAN gratuit du domaine de base sur votre certificat SSL, assurez-vous de déposer le fichier verificationtoken.txt sur le domaine de base. Nous devons valider le domaine indiqué sur la commande du certificat SSL.

N'ajoutez absolument aucun contenu supplémentaire au fichier verificationtoken.txt

Lorsque vous créez le fichier verificationtoken.txt, copiez la valeur de jeton fournie par DigiCert et collez-la dans le fichier. N'ajoutez pas le mot "jeton" ni quelque autre texte que ce soit.

Nous ne vérifions que les deux premiers kilo-octets du fichier verificationtoken.txt. Par conséquent, tout ajout de texte supplémentaire nous empêche de valider le fait que vous contrôlez le domaine.

Ne déposez pas le fichier verificationtoken.txt sur une page contenant plusieurs redirections.

Lorsque vous utilisez la validation de domaine par démonstration pratique HTTP, le fichier verificationtoken.txt peut être déposé sur une page contenant un maximum d’une seule redirection. En cas de redirection unique, nous serons encore en mesure de localiser le fichier verificationtoken.txt et de vérifier que vous contrôlez le domaine.

Par exemple, mettons que vous demandez un certificat pour http://exemple.com, mais que la page redirige vers https://www.exemple.com. Cela ne posera pas de problème. Vous pouvez déposer le fichier verificationtoken.txt sur la page http://exemple.com. Nous serons quand même capables de suivre cette redirection et de valider que vous contrôlez http://exemple.com.

Cependant, si vous déposez le fichier verificationtoken.txt sur une page imposant plusieurs redirections, nous ne pourrons pas localiser le fichier. Les redirections multiples nous empêchent de trouver le fichier verificationtoken.txt et donc de valider que vous contrôlez le domaine.

Par exemple, mettons que vous demandez un certificat pour http://redirections-multiples.com mais que la page redirige vers https://www.redirections-multiples.com laquelle redirige elle-même vers https://www.redirection-unique.com Dans une telle situation, vous devez toujours déposer le fichier verificationtoken.txt sur la page http://redirections-multiples.com. En revanche, vous devrez désactiver la deuxième redirection (celle pointant vers https://www.redirection-unique.com) suffisamment longtemps pour nous permettre de localiser le fichier verificationtoken.txt et ainsi valider que vous contrôlez bien http://redirections-multiples.com