Certificat SSL validé par domaine

Les certificats de validation de domaine (DV) sont des certificats SSL qui peuvent être obtenus très facilement et très rapidement. Grâce à une vérification simple et une automatisation complète, il est possible d'obtenir un nouveau certificat en quelques minutes et d'avoir un site Web sécurisé en un, deux, trois.
Même si les certificats SSL de domaine sont très bon marché, ils garantissent une communication https de qualité sans aucun problème.

Comment fonctionne la validation de domaine

Après la commande, l'insertion de la demande de certificat (CSR) et le paiement, le certificat SSL est commandé auprès de l'autorité de certification, qui envoie immédiatement un e-mail de validation. Après sa confirmation, l'autorité délivre le certificat. La validation peut également être effectuée en utilisant FTP ou DNS (voir ci-dessous).

La commande

Après avoir commandé le certificat SSL et effectué le paiement, la commande est vérifiée par le système et si tout est OK, le certificat est automatiquement commandé auprès de l'autorité de certification. La commande d'un certificat auprès de l'autorité est annoncée par e-mail et la commande recevra le statut : EN ATTENTE

Si vous avez reçu une confirmation de paiement, mais que la commande est toujours en attente de paiement et que la commande n'a pas été envoyée à l'autorité de certification, vérifiez que la demande de certificat est soumise. Alternativement, générez simplement une demande de certificat (CSR).

Vérification par une Autorité de Certification

La validation du demandeur de certificat est effectuée par l'Autorité de Certification, c'est-à-dire qu'elle envoie un e-mail de validation, émet et envoie le certificat.

Validation par e-mail :

La manière la plus simple de valider consiste à vérifier le domaine à l'aide d'un e-mail envoyé à une adresse pré-sélectionnée, où le propriétaire ou l'administrateur du domaine clique sur le lien, où ils confirment ensuite la demande de certificat "Approuver". Après cela, le certificat est délivré presque immédiatement.

Boîtes aux lettres auxquelles un e-mail de validation peut être envoyé :

• admin@example.net
• administrator@example.net
• webmaster@example.net
• hostmaster@example.net
• postmaster@example.net

Les e-mails proposés sont définis selon les règles du forum CAB. L'e-mail de validation doit être créé et fonctionnel. Si vous n'avez pas l'un de ces e-mails, vous devez le créer et le définir comme alias pour un e-mail d'entreprise, par exemple.

Exemple d'e-mail de validation de l'AC Sectigo :

Que faire si l'e-mail de validation n'arrive pas ?

L'e-mail de validation est envoyé directement à l'autorité de certification immédiatement après la commande du certificat auprès de l'autorité (CA Sectigo envoie un e-mail depuis noreply_support@comodo.com). L'adresse e-mail peut ne pas être disponible encore ou vous devrez peut-être la changer pour une autre de 4 e-mails. Les paramètres de transfert d'e-mail peuvent également échouer ou l'e-mail peut ne pas être livré en raison d'une politique de protection contre le spam stricte.

L'e-mail de validation peut être renvoyé à tout moment avant que le certificat ne soit délivré. Le renvoi est effectué dans le Panneau de Contrôle : Détails de la commande SSL -> Informations de commande -> Méthode de validation : -> Modifier -> Renvoyer. Ici, il est également possible de changer l'e-mail et d'en définir un autre.

Important : Si l'e-mail de validation ne peut pas être reçu après plusieurs tentatives, vérifiez le nom de domaine pour les fautes de frappe lors de la commande. Il est également possible que votre fournisseur ait mis en place des filtres anti-spam de sorte que les e-mails provenant d'une autorité étrangère soient rejetés. Dans ce cas, vous devez contacter votre fournisseur d'e-mails ou envisager d'utiliser une validation alternative.

Délivrance d'un certificat

Dès que l'e-mail de validation est confirmé, le certificat est délivré en quelques minutes et envoyé au contact complété dans la commande.
L'e-mail contient une clé publique certifiée et des certificats d'autorité intermédiaire, pour assurer la confiance du certificat. Tout est téléchargé sur le serveur avec la clé privée.
 

---

Méthodes de vérification alternatives

Si vous ne pouvez pas vérifier le propriétaire du domaine par e-mail, il existe deux autres façons de valider le domaine.

Authentification basée sur fichier (validation FTP)

L'AC authentifie le domaine à l'aide d'un fichier TXT situé dans l'espace disque du domaine. Le fichier accessible au public contient une chaîne de texte (jeton) qui doit être téléchargée dans le répertoire du site Web /.well-known/pki-validation/. L'autorité de certification vérifie son existence et valide ainsi que le demandeur a accès au domaine et a le droit de disposer du domaine. Chaque demande a toujours ses propres chaînes de texte, qui sont répertoriées à côté des détails de la commande et envoyées par e-mail. Les chaînes ci-dessous sont données à titre d'illustration seulement.

Note : À partir de novembre 2021, il n'est pas possible de vérifier les certificats SSL WildCard en utilisant la validation FTP. Seulement DNS.

Exemple de validation FTP du certificat RapidSSL

Nom du fichier : fileauth.txt
Chemin d'accès au fichier : http://example.net/.well-known/pki-validation/fileauth.txt

Contenu (jeton) :
8CC79447A5MTg4MzY1MA2#!cm5ywz5m1lzoyfp2xhy7

Le fichier texte contient uniquement le jeton, sans aucune autre information.


Exemple de validation FTP du certificat Sectigo PositiveSSL

Nom du fichier : 048B0565E245687S52C7801EA7D4B954F3.txt
Chemin d'accès au fichier : http://example.net/.well-known/pki-validation/048B0565E245687S52C7801EA7D4B954F3.txt

Contenu :
141A63FD5637E4524954SDAB4B2C0B4DBD0CCFABD5379DF821F5F01B3B69116993
COMODOCA.COM
t0211231001361667854

Tous les paramètres saisis doivent être sur des lignes séparées !


Important : Le fichier d'authentification doit être accessible à une adresse sans "www". Même dans le cas d'une demande de certificat pour un domaine avec "www", par exemple www.example.net.

La vérification de la disponibilité de l'enregistrement est effectuée par une simple vérification en saisissant l'adresse dans le navigateur, où les informations de validation doivent être affichées.

Validation DNS

Les enregistrements DNS de domaine sont généralement configurés par votre fournisseur d'hébergement ou votre bureau d'enregistrement de domaine. L'autorité de certification génère une chaîne unique, qui est insérée dans le DNS sous la forme d'un enregistrement TXT, ou le CNAME est défini. Au fur et à mesure que le nouveau contenu DNS se propage, l'AC vérifie l'enregistrement et délivre un certificat au domaine s'il est OK.

Exemple de validation DNS en utilisant un enregistrement TXT

Enregistrement TXT DNS : d3pyrjg65d8hh1bv0tgr4bx890yksq8j

Exemple de validation DNS en utilisant un enregistrement CNAME

Enregistrement CNAME DNS : _cfd00c1ec2d56372b27b9562f5da83d0.example.net CNAME
cb3a889855882c6518c0ac959be30067.e8349bfb8ec9a0334864d9bf350a1188.t0119001001421510849.comodoca.com

Important : Même lors de la demande d'un certificat pour le domaine www.example.net, l'enregistrement TXT doit être disponible dans le DNS sur le domaine sans "www".

La vérification de la disponibilité de l'enregistrement peut être effectuée en ligne en utilisant digwebinterface.com ou whatsmydns.net.

---

Quoi ensuite ?

• Comment l'entreprise est vérifiée (certificats OV+EV)
• Comment créer une demande de signature de certificat (CSR)
• Formats de certificat (PEM, KEY, CSR, PFX, ...)
• Qu'est-ce que le renouvellement de certificat SSL