Comment valider le contrôle d’un nom de Domaine pour un Certificat SSL

Pour des raisons de sécurité il est nécessaire de vérifier que vous avez l’autorisation du propriétaire du domaine pour pouvoir délivrer un certificat SSL pour ce domaine.

Si vous demandez un certificat SSL pour un domaine que vous ne contrôlez pas vous ne pourrez valider le certificat. Lors de la création de votre certificat il vous sera demandé de choisir une des 3 méthodes de validation du contrôle du domaine :

Validation par DNS

La validation par DNS implique que vous avez le contrôle de la gestion des enregistrements DNS de votre domaine (qu’il soit chez Gandi ou un autre registrar) car vous devrez ajouter un enregistrement de type CNAME pour la validation.

Le système vous fournira l’enregistrement et les informations nécessaire à l’ajout de cet enregistrement CNAME dans la zone DNS de votre domaine.

Si vous achetez un certificat SSL pour un domaine enregistré chez Gandi et pour lequel vous êtes contact, cette méthode est sélectionnée automatiquement et le fichier de zone des serveurs de noms sera mise à jour pour vous (sous réserve que le domaine utilise LiveDNS). Dans le cas où vous avez choisi un certificat Multi-domaine, vous devez avoir les droits pour TOUS les domaines présents dans le certificat pour que ce type de validation fonctionne.

Attention

Si vous voyez un CNAME déjà existant dans la zone, il a été ajouté automatiquement par le système pour vous. Dans ce cas il ** ne faut pas** l’ajouter une seconde fois. N’oubliez pas que les DNS ont un délai de propagation qui peut prendre plusieurs heures. De même si vous avez déjà créé des certificats pour ce domaine dans le passé, effacez tous les anciens enregistrements pour éviter un conflit d’enregistrements.

Validation par email

Pour valider la DCV par email, un email est envoyé à l’adresse « admin@example.com » (remplacez example.com par le domaine concerné). Cette méthode de validation est la plus simple et la plus rapide mais elle requière que vous puissiez créer une adresse email spécifique pour la validation et ce pour chaque domaine devant être validé. Il n’est pas possible de choisir l’adresse de réception.

Attention

Vous n’avez que 30 jours pour valider l’email, après ce délai l’opération expirera. Comme la DCV fait partie de la création il est préférable de créer l’adresse avant de lancer la commande. Si vous ne créez pas l’adresse à temps, vous pourrez faire renvoyer l’email depuis la page de détail de votre nouveau certificat SSL dans la rubrique « Certificats SSL » de votre compte.

SI vous avez besoin d’information sur la création d’adresse email sur votre nom de domaine, merci de vous référer à notre documentation.

Il est aussi possible de créer un alias ou une redirection email pour renvoyer cet email vers une adresse existante. Néanmoins il faut savoir que les emails renvoyés depuis une redirection scorent plus haut au niveau des filtres antispam. Nous ne recommandons pas cette méthode afin d’éviter le risque de ne pas recevoir cet email de validation.

Validation par fichier

Cette méthode de validation nécessite que vous ayez accès au serveur web qui héberge le site sur lequel le domaine est redirigé. Il vous sera demandé de copier un fichier texte (.txt) qui contient une clé de vérification, et de le placer dans un sous répertoire spécifique : .well-known/pki-validation/filename.txt (http://www.example.com/.well-known/pki-validation/filename.txt). Le nom du fichier texte sera spécifique au SSL à valider.

Notez qu’il est nécessaire de remplacer l’url ci dessus par celle générée spécifiquement pour votre certificat, de même que le nom du fichier. Ces informations sont spécifiées lors de l’étape de validation de la DCV. Le fichier doit être accessible de l’extérieur de votre réseau et uniquement en HTTP.

Attention

Certains CMS (comme Wordpress par exemple), peuvent bloquer l’accès à toute page « externe » au site.

Sectigo vérifie généralement la présence du fichier et sa validité à peu près 1 heure après le début de processus de validation DCV.