Demande de certificat Signed HTTP Exchange

Certificat TLS ECC avec extension CanSignHttpExchanges

DigiCert est heureuse de faire partie des toutes premières Autorités de Certification à intégrer l’extension CanSignHttpExchanges dans ses certificats TLS ECC. Nous entendons ainsi poursuivre nos efforts en faveur de l’innovation technologique et du développement de nouveaux protocoles web. Pour plus d’infos, consultez la page intitulée Signed HTTP Exchange : la solution pour un affichage optimal des URL AMP.

Un certificat TLS ECC équipé de l’extension CanSignHttpExchanges ne peut être utilisé que pour des échanges HTTP signés. Par conséquent, vous aurez besoin de deux certificats pour le serveur: un pour les connexions TLS et un autre pour la signature des échanges HTTP. Chrome n’utilise le certificat avec extension CanSignHttpExchanges que pour les échanges signés et rejette les requêtes tentant de l’utiliser pour des connexions TLS.

Pour commander votre certificat Signed HTTP Exchange et bénéficier des améliorations apportées aux pages AMP, suivez les instructions ci-dessous.

Créez votre compte CertCentral

C’est la première étape. Ce compte est spécialement configuré pour la commande de certificats TLS avec extension CanSignHttpExchanges.

Créez votre compte CertCentral

Vous avez déjà un compte DigiCert ? Pas de problème, nos experts sont à votre disposition. Contactez votre chargé de compte ou notre équipe support.

Paramétrez l’enregistrement de ressource CAA de votre domaine

Pour qu’une Autorité de Certification (AC) puisse émettre votre certificat TLS avec extension CanSignHttpExchanges, vous devez au préalable ajouter le paramètre "cansignhttpexchanges=yes" à l’enregistrement DNS de votre domaine. Vous n'aurez à réaliser cette opération qu’une seule fois.

xml
example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"

Avant d'émettre le certificat, l’AC (par ex. DigiCert) vérifie la présence de ce paramètre dans l’enregistrement de ressource CAA du domaine. Si l’enregistrement contient le paramètre en question, le certificat est émis. Dans le cas contraire ou si le domaine ne comporte aucun enregistrement de ressource CAA, le certificat ne peut être émis.

Créez une requête CSR ECC

Les spécifications relatives à la technologie SXG exigent que le certificat TLS servant à la signature de l’échange comporte une paire de clés ECC (cryptographie par courbes elliptiques).

Par ailleurs, vous devrez joindre une requête de signature de certificat (CSR) ECC à la commande de votre certificat.

Commandez votre certificat TLS

Dans le menu de votre espace CertCentral, cliquez sur Request a Certificate, puis choisissez un certificat. En cas de doute sur le certificat à choisir, cliquez sur Request a Certificate > Product Summary. Sur la page Request a Certificate, vérifiez les options associées aux certificats, puis choisissez celui qui vous convient.

Installez l’extension CanSignHttpExchanges

Au moment de commander votre certificat TLS, assurez-vous d’inclure l'extension CanSignHttpExchanges.

Conformément aux normes en vigueur, les certificats avec extension CanSignHttpExchanges ont une durée de validité de 90 jours.

Sur la page de commande du certificat, déroulez le menu Additional Certificate Options, puis dans la section Signed HTTP Exchanges, cochez la case Include the CanSignHttpExchanges extension in the certificate.

Include the CanSignHttpExchanges extension in the certificate