Erreurs courantes : Méthode DCV par démonstration pratique HTTP

Pour valider votre domaine à l’aide de la méthode DCV par démonstration pratique HTTP, vous avez besoin de deux éléments : 1) une valeur aléatoire fournie par DigiCert, et 2) l’URL ou l’emplacement sur votre site Web du fichier fileauth.txt contenant la valeur aléatoire : http://[votre-domaine]/.well-known/pki-validation/fileauth.txt.

L’URL contient deux éléments :

  • le nom complet du domaine (Fully Qualified Domain Name, FQDN) ) que vous souhaitez que l’on valide ;
  • l’emplacement du fichier fileauth.txt auquel vous avez ajouté la valeur aléatoire générée.

Vous trouverez ci-dessous quelques-uns des problèmes les plus couramment observés à lorsque l’on cherche les causes d’un échec de démonstration pratique HTTP. Le processus DCV basé sur la démonstration HTTP pratique est conçu pour empêcher une personne non autorisée à utiliser un domaine dont elle a le contrôle pour valider et obtenir un certificat pour un domaine dont elle n’a pas le contrôle, par exemple, l’un des vôtres.

Ne pas modifier l'URL fournie

Si vous modifiez l’URL de quelque manière que ce soit (en changeant le FQDN, en utilisant une majuscule au lieu d’une minuscule ou en omettant d’ajouter un point, etc.), nous ne pourrons pas retrouver le fichier fileauth.txt contenant la valeur aléatoire que nous avons générée.

Par exemple, si nous vous fournissons l’URL suivante : [http://votre-domaine]/.well-known/pki-validation/fileauth.txt, n’ajoutez pas www ([http://www.votre-domaine]/.well-known/pki-validation/fileauth.txt) et n’utilisez pas non plus de majuscule si l’URL originale n’en contient pas ([http://votre-domaine]/.well-known/PKI-validation/fileauth.txt).

Ne pas placer le fichier fileauth.txt sur un domaine ou sous-domaine différent

Pour finaliser la validation du contrôle de domaine pour[votre-domaine], placez le fichier fileauth.txt sur le domaine exact que vous souhaitez faire valider (celui pour lequel nous avons généré l’URL). Nous ne recherchons pas le jeton aléatoire dans un domaine ou sous-domaine différent. Nous vérifierons uniquement sur le domaine dont vous demandez la validation (typiquement celui de votre commande de certificat).

Par exemple, si vous devez faire valider[votre-domaine] nous générons une URL pour ce domaine :[http://votredomaine]/.well-known/pki-validation/fileauth.txt. Ne placez pas le fichier fileaut.txt sur[sub.votre-domaine] et ne modifiez pas non plus l’URL. Placez-le sur[your-other-domain,] sinon cela ne fonctionnera pas. Nous ne pouvons pas retrouver le fichier fileaut.txt sur ces domaines. Nous le recherchons sur[votre-domaine], le domaine de votre commande de certificat ou le domaine que vous avez soumis pour pré-validation.

[votre-domaine] et www.[votre-domaine]

Si vous souhaitez faire valider www.[votre-domaine] et[votre-domaine], placez le fichier fileaut.txt sur[votre-domaine]. De cette façon seront validés[votre-domaine], et www.[votre-domaine]. Nous ne rechercherons pas sur www.[votre-domaine] le fichier fileauth.txt.

SAN de domaine de base gratuit

Si vous avez reçu un SAN gratuit du domaine de base sur votre certificat SSL, assurez-vous de déposer le fichier fileauth.txt sur le domaine de base. Nous devons valider le domaine de la commande de certificat SSL/TLS.

Ne pas inclure de contenu supplémentaire dans le fichier fileauth.txt

Lorsque vous créez le fichier fileauth.txt, copiez et collez la valeur aléatoire du jeton fourni par DigiCert dans le fichier. N’ajoutez pas le mot "jeton" ni aucun autre élément de texte.

Comme nous ne lisons que les premiers 2 ko du fichier fileauth.txt, tout texte supplémentaire nous empêcherait de vérifier que vous contrôlez le domaine.

Ne pas placer le fichier fileauth.txt sur une page comportant plusieurs redirections

Lorsque vous utilisez la méthode basée sur la démonstration HTTP pratique pour valider les domaines, le fichier fileauth.txt peut être placé sur une page contenant une seule redirection. Lorsqu’il y a qu’une seule redirection, nous sommes en mesure de repérer le fichier fileauth.txt et de vérifier que vous contrôlez le domaine.

Par exemple, vous avez besoin d’un certificat pour http://exemple.com, mais la page vous redirige vers https://www.exemple.com. Cela ne pose pas de problème. Placez le fichier fileauth.txt sur la page http://exemple.com. Nous serons toujours en mesure de suivre la redirection unique pour vérifier que vous contrôlez le domaine.

En revanche, si vous placez le fichier fileauth.txt sur une page comportant plusieurs redirections, nous ne pourrons pas repérer le fichier. Les redirections multiples nous empêchent de repérer le fichier fileauth.txt et de vérifier que vous contrôlez le domaine.

Par exemple, vous avez besoin d’un certificat pour http://multiple-redirect.com, mais la page vous redirige vers https://www.multiple-redirect.com, puis vers https://www.single-redirect.com. Dans ce cas, vous devez toujours placer le fichier fileauth.txt sur la page http://multiple-redirect.com. En revanche, vous devrez désactiver la deuxième redirection (https://www.single-redirect.com) suffisamment à l’avance pour nous permettre de repérer le fichier fileauth.txt et vérifier que vous contrôlez le domaine http://multiple-redirect.com.