Comment valider le contrôle d’un nom de Domaine pour un Certificat SSL
Pour des raisons de sécurité il est nécessaire de vérifier que vous avez l’autorisation du propriétaire du domaine pour pouvoir délivrer un certificat SSL pour ce domaine.
Si vous demandez un certificat SSL pour un domaine que vous ne contrôlez pas vous ne pourrez valider le certificat. Lors de la création de votre certificat il vous sera demandé de choisir une des 3 méthodes de validation du contrôle du domaine :
Note
Pour les noms de domaine enregistrés ou gérés par Gandi, cette étape de validation est généralement effectuée automatiquement.
La validation par DNS implique que vous avez le contrôle de la gestion des enregistrements DNS de votre domaine (qu’il soit chez Gandi ou un autre registrar) car vous devrez ajouter un enregistrement de type CNAME pour la validation.
Le système vous fournira l’enregistrement et les informations nécessaire à l’ajout de cet enregistrement CNAME dans la zone DNS de votre domaine.
Note
La validation par enregistrement DNS peut prendre jusqu’à 30 minutes, voire plus, pour être effectuée.
Attention
Si vous voyez un CNAME déjà existant dans la zone, il a été ajouté automatiquement par le système pour vous. Dans ce cas il ** ne faut pas** l’ajouter une seconde fois. N’oubliez pas que les DNS ont un délai de propagation qui peut prendre plusieurs heures. De même si vous avez déjà créé des certificats pour ce domaine dans le passé, effacez tous les anciens enregistrements pour éviter un conflit d’enregistrements.
Pour valider la DCV par E-mail, un E-mail est envoyé à l’adresse « admin@example.com » (remplacez example.com par le domaine concerné). Cette méthode de validation est la plus simple et la plus rapide mais elle requière que vous puissiez créer une adresse E-mail spécifique pour la validation et ce pour chaque domaine devant être validé.
Il n’est pas possible de choisir l’adresse de réception.
Attention
Vous n’avez que 30 jours pour valider l’E-mail, après ce délai l’opération expirera. Comme la DCV fait partie de la création il est préférable de créer l’adresse avant de lancer la commande. Si vous ne créez pas l’adresse à temps, vous pourrez faire renvoyer l’E-mail depuis la page de détail de votre nouveau certificat SSL dans la rubrique « Certificats SSL » de votre compte.
SI vous avez besoin d’information sur la création d’adresse E-mail sur votre nom de domaine, merci de vous référer à notre documentation.
Il est aussi possible de créer un alias ou une redirection E-mail pour renvoyer cet E-mail vers une adresse existante. Néanmoins il faut savoir que les E-mails renvoyés depuis une redirection scorent plus haut au niveau des filtres antispam. Nous ne recommandons pas cette méthode afin d’éviter le risque de ne pas recevoir cet E-mail de validation.
Cette méthode de validation nécessite que vous ayez accès au serveur web qui héberge le site sur lequel le domaine est redirigé.
Il vous sera demandé de copier un fichier texte (.txt) qui contient une clé de vérification, et de le placer dans un sous répertoire spécifique :
.well-known/pki-validation/filename.txt
(https://www.example.com/.well-known/pki-validation/filename.txt
).
Le nom du fichier texte sera spécifique au SSL à valider.
Important
Le fichier doit être placé à la racine de chaque URL que vous voulez protéger avec un certificat. Cela signifie que si vous voulez protéger les adresses « www.example.com » et « example.com » (le domaine nu / apex sans www), vous devrez placer le fichier deux fois : une fois à la racine du site www.example.com et une fois à la racine du site example.com.
Notez qu’il est nécessaire de remplacer l’url ci dessus par celle générée spécifiquement pour votre certificat, de même que le nom du fichier. Ces informations sont spécifiées lors de l’étape de validation de la DCV.
Le fichier doit être accessible de l’extérieur de votre réseau et uniquement en HTTP.
Attention
Certains CMS (comme WordPress par exemple), peuvent bloquer l’accès à toute page « externe » au site.
Sectigo vérifie généralement la présence du fichier et sa validité à peu près 1 heure après le début de processus de validation DCV.
Comment valider le contrôle d’un nom de Domaine pour un Certificat SSL¶
Validation par DNS
Validation par E-mail
Validation par fichier
Pour des raisons de sécurité il est nécessaire de vérifier que vous avez l’autorisation du propriétaire du domaine pour pouvoir délivrer un certificat SSL pour ce domaine.
Si vous demandez un certificat SSL pour un domaine que vous ne contrôlez pas vous ne pourrez valider le certificat. Lors de la création de votre certificat il vous sera demandé de choisir une des 3 méthodes de validation du contrôle du domaine :
Note
Pour les noms de domaine enregistrés ou gérés par Gandi, cette étape de validation est généralement effectuée automatiquement.
Validation par DNS¶
La validation par DNS implique que vous avez le contrôle de la gestion des enregistrements DNS de votre domaine (qu’il soit chez Gandi ou un autre registrar) car vous devrez ajouter un enregistrement de type CNAME pour la validation.
Le système vous fournira l’enregistrement et les informations nécessaire à l’ajout de cet enregistrement CNAME dans la zone DNS de votre domaine.
Note
La validation par enregistrement DNS peut prendre jusqu’à 30 minutes, voire plus, pour être effectuée.
Attention
Si vous voyez un CNAME déjà existant dans la zone, il a été ajouté automatiquement par le système pour vous. Dans ce cas il ** ne faut pas** l’ajouter une seconde fois. N’oubliez pas que les DNS ont un délai de propagation qui peut prendre plusieurs heures. De même si vous avez déjà créé des certificats pour ce domaine dans le passé, effacez tous les anciens enregistrements pour éviter un conflit d’enregistrements.
Validation par E-mail¶
Pour valider la DCV par E-mail, un E-mail est envoyé à l’adresse « admin@example.com » (remplacez example.com par le domaine concerné). Cette méthode de validation est la plus simple et la plus rapide mais elle requière que vous puissiez créer une adresse E-mail spécifique pour la validation et ce pour chaque domaine devant être validé. Il n’est pas possible de choisir l’adresse de réception.
Attention
Vous n’avez que 30 jours pour valider l’E-mail, après ce délai l’opération expirera. Comme la DCV fait partie de la création il est préférable de créer l’adresse avant de lancer la commande. Si vous ne créez pas l’adresse à temps, vous pourrez faire renvoyer l’E-mail depuis la page de détail de votre nouveau certificat SSL dans la rubrique « Certificats SSL » de votre compte.
SI vous avez besoin d’information sur la création d’adresse E-mail sur votre nom de domaine, merci de vous référer à notre documentation.
Il est aussi possible de créer un alias ou une redirection E-mail pour renvoyer cet E-mail vers une adresse existante. Néanmoins il faut savoir que les E-mails renvoyés depuis une redirection scorent plus haut au niveau des filtres antispam. Nous ne recommandons pas cette méthode afin d’éviter le risque de ne pas recevoir cet E-mail de validation.
Validation par fichier¶
Cette méthode de validation nécessite que vous ayez accès au serveur web qui héberge le site sur lequel le domaine est redirigé. Il vous sera demandé de copier un fichier texte (.txt) qui contient une clé de vérification, et de le placer dans un sous répertoire spécifique :
.well-known/pki-validation/filename.txt
(https://www.example.com/.well-known/pki-validation/filename.txt
).Le nom du fichier texte sera spécifique au SSL à valider.
Important
Le fichier doit être placé à la racine de chaque URL que vous voulez protéger avec un certificat. Cela signifie que si vous voulez protéger les adresses « www.example.com » et « example.com » (le domaine nu / apex sans www), vous devrez placer le fichier deux fois : une fois à la racine du site www.example.com et une fois à la racine du site example.com.
Notez qu’il est nécessaire de remplacer l’url ci dessus par celle générée spécifiquement pour votre certificat, de même que le nom du fichier. Ces informations sont spécifiées lors de l’étape de validation de la DCV. Le fichier doit être accessible de l’extérieur de votre réseau et uniquement en HTTP.
Attention
Certains CMS (comme WordPress par exemple), peuvent bloquer l’accès à toute page « externe » au site.
Sectigo vérifie généralement la présence du fichier et sa validité à peu près 1 heure après le début de processus de validation DCV.