SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
Menu
picture of tbs certificates
picture of tbs certificates
Les produits
Notre gamme
Partenaires
Support
Numéro vert
Focus


Sectigo : Qu'est ce que le challenge DCV ?

Le challenge DCV (Domain Control Validation) permet de vérifier que le demandeur d'un certificat dispose de l'accord de l'exploitant technique du nom de domaine qu'il veut sécuriser. Cette technique est mise en place pour renforcer la sécurité des certificats SSL, en complément des vérifications déjà effectuées.
La validation DCV conditionne la délivrance du certificat SSL.

Les différents types de challenge DCV

Plusieurs méthodes de validation DCV vous seront proposées lors du dépôt de vos commandes techniques de certificat :

Le DCV E-mail

Le principe est simple : un mél contenant un code de sécurité à l'une des adresses génériques suivantes :

  • admin@dom.ai.ne
  • administrator@dom.ai.ne
  • hostmaster@dom.ai.ne
  • webmaster@dom.ai.ne
  • postmaster@dom.ai.ne

La liste des adresses méls possibles vous est proposée en fonction du FQDN demandé (Adresse internet à sécuriser inscrite dans le CSR) sur le formulaire de commande (testez ici dès maintenant).

Une fois la commande passée, il est possible depuis votre page statut, de demander l'envoi du mél sur une adresse présente dans le titre de propriété du domaine (WHOIS) à la condition que l'accès au WHOIS ne soit pas soumis à la validation d'un CAPTCHA. Aucun traitement manuel ne pourra être effectué pour récupérer les adresses mél du WHOIS.

Vous pourrez modifier cette adresse et faire renvoyer le mél à tout moment depuis votre page statut.

Comment se préparer ?

Pour passer ce contrôle, il est nécessaire de pouvoir recevoir cet mél DCV.

Nous vous invitons dès maintenant à vérifier que vous pouvez recevoir des méls sur l'une des adresses génériques décrites ci-dessus. Envoyez-vous des méls de test.
Vérifiez aussi que votre système anti-spam accepte bien les méls dont l'émetteur est noreply_support@trust-provider.com.

Si vous ne recevez habituellement aucune de ces adresses, informez les personnes qui les reçoivent du besoin de vous faire suivre les méls de DCV.

Néanmoins nous recommandons de demander la création d'une adresse qui n'existerait pas encore (administrator@dom.ai.ne ?) et qui vous soit directement renvoyée. Ainsi plus de temps perdu à attendre qu'on vous renvoie le mél.

Si vous êtes prestataire, et que les certificats commandés sont pour vos clients, il convient de les en informer. Si vous gérez également leurs noms de domaine, assurez-vous qu'il existe un renvoi entre l'une des adresses génériques décrites ci-dessus et la boîte mél de votre client.

A quel moment le mél est-il envoyé ?

Le mél est envoyé dès que la commande est transmise à l'autorité de certification.
À partir de votre page statut du certificat, vous pouvez suivre l'avancement des différentes étapes de vérification de votre dossier puis faire renvoyer automatiquement ce mél de contrôle vers l'adresse sélectionnée.

Voir aussi : À quoi ressemble le challenge e-mail DCV ?

Le DCV HTTP

Mise en place en juin 2012, la validation DCV HTTP est une alternative à la validation DCV E-mail.

Note : Depuis le 1er décembre 2021, suite à une décision du CA/B Forum, il n'est pas plus possible d'utiliser le DCV HTTP ou HTTPS pour les certificats wildcard. Seules les méthodes par mél ou par DNS sont proposées.

Comment ça marche ?

Lorsque vous déposez votre commande technique de certificat, un fichier est créé à partir de votre CSR. Placez ce fichier dans le sous répertoire .well-known/pki-validation/ votre site en HTTP (ce dernier doit être accessible via internet). Après l'appel de vérification finale, un robot vérifiera la présence de ce fichier puis de son contenu. Si les informations sont cohérentes avec les informations données lors de la commande le certificat sera délivré.

À noter : Le fichier est crée au dépôt de la commande. Si une correction de CSR vous est demandée pendant la phase d'audit, un nouveau fichier sera alors généré. Vous pourrez le récupérer sur la page statut de votre certificat.

Il est également à noter qu'une nouvelle valeur unique est générée à chaque requête donc une refabrication ou un renouvellement avec le même CSR contiendra un nouveau fichier à déployer.

De même : Imaginons que vous déposiez une demande de certificat pour ssdom.domaine.com, le système recherchera le fichier dans le sous-répertoire .well-known/pki-validation/ de ssdom.domaine.com. Ainsi pour les certificats multiple site sécurisant plusieurs sous-domaines, un fichier doit être placé dans le sous-répertoire .well-known/pki-validation/ de chaque sous-domaine.

À noter également : dans le cadre du produit Sectigo, si vous souhaitez bénéficier du SAN offert (avec ou sans www), il faut obligatoirement placer le fichier sur les deux FQDN. Cela donnera, par exemple pour domaine.com, un fichier accessible à ces deux adresses :

  • http(ou https)://domaine.com/.well-known/pki-validation/fichier.txt
  • http(ou https)://www.domaine.com/.well-known/pki-validation/fichier.txt

Si le fichier n'est pas présent sur le SAN concerné, il ne sera pas inclus dans le certificat.

Si vous utilisez un serveur Windows, la création du répertoire .well-known peut poser problème, c'est pourquoi nous avons mis en ligne une documentation sur cette étape.

À noter : si vous avez activé le SNI sur votre serveur, il peut arriver que le robot de validation DCV Sectigo ne trouve pas le fichier malgré que celui-ci soit placé au bon endroit.
Si vous rencontrez des difficultés pour valider le DCV, essayez de changer de méthode (par mail ou DNS) si possible, ou bien contactez notre service support.

Ce fichier doit avoir une extension .txt, ne doit pas être renommé et son contenu ne doit pas être édité.

Cas de refabrication ou renouvellement

Un nouveau fichier .txt est régénéré à chaque manipulation qu'il s'agisse d'une nouvelle demande, d'un renouvellement ou d'une refabrication.

Adresses IP des serveurs Sectigo

Vous avez besoin de configurer des autorisations pour l'accès à votre fichier HTTP ? Voici les IP Sectigo :

  • 91.199.212.132
  • 91.199.212.148
  • 91.212.12.132
  • 2a0e:ac00:0231:8080:d00c:12ff:fe51:5511
  • 2a0e:ac00:0231:8080::/64

Le DCV HTTPS

Le DCV HTTPS fonctionne sur le même principe que le DCV HTTP à la seule différence que le fichier doit être placé sur le site en HTTPS.

À noter : Peu importe que le certificat déjà installé soit valide ou non, auto-signé ou même délivré par une autorité de certification non reconnue.

Le DCV DNS - La solution du spécialiste

Il s'agit d'une manipulation technique consistant à ajouter une entrée CNAME à la configuration DNS (Domain Name Service) de votre serveur. Une fois l'appel de vérification final effectué, un robot vient vérifier ces paramètres puis délivre le certificat si tout est conforme.

Comment ça marche ?

Lors du dépot de votre demande de certificat, votre CSR est hashé, une valeur unique et secrète y est ajoutée et les valeurs en résultant vous sont communiquées pour la configuration de votre serveur qui aura alors la forme :

{MD5 hash du CSR}.FQDN CNAME {SHA-256 hash reformatté du CSR}.{valeur unique}.trust-provider.com

Par exemple :

c7fbc2039e400c8ef74129ec7db1842c.www.mondomaine.com CNAME
298a056d3e2f3018bda514defb18129dc5af459e.trust-provider.com.

Attention : Si vous passez par un hébergeur de type OVH ou GANDI la prise en compte de cette configuration n'est pas instantanée. Il faut compter entre 10mn et une heure pour que la modification soit effective (sans compter le temps de propagation défini dans la configuration de votre DNS : TTL).

De même, comme pour le challenge DCV HTTP, si le CSR est modifé en cours d'audit alors il sera de nouveau hashé. Il faudra alors mettre à jour votre configuration DNS.

Il est également à noter qu'une nouvelle valeur unique est générée à chaque requête donc une refabrication ou un renouvellement avec le même CSR contiendra un nouvel enregistrement à déployer.

La documentation spécifique

Les certificats multiple site

Pour les certificats multiple site le principe de base est relativement simple :

1 FQDN = 1 DCV

Cependant des méthodes ont été mises en place pour limiter au maximum le nombre de manipulations à effectuer par le client que ce soit dans le cas de DCV E-mail ou dans celui de DCV HTTP.

Exemple : Si plusieurs FQDN présentent la même adresse mél dans leurs WHOIS alors un seul mél est envoyé à cette adresse.

À savoir : Les validations DCV pour chaque FQDN sont indépendantes les unes des autres ce qui signifie que vous pouvez choisir le DCV e-mail pour un FQDN et le DCV HTTP pour un autre.

De même une fois votre demande déposée il reste possible de modifier le type de validation DCV pour chaque site à sécuriser depuis la page statut de votre certificat.

Comment relancer le challenge DCV ?

Peu importe le type de challenge selectionné, il est toujours possible d'en demander la relance, soit renvoyer le mail, ou demander au robot de repasser vérifier la présence du fichier .txt ou de la configuration DNS.

Il suffit de vous rendre sur la page statut de votre certificat et cliquer sur le bouton 'Suivi du challenge DCV'.

Quels dossiers sont concernés ?

Tous les certificats de marques TBS X509 et Sectigo, lors de la commande initiale, renouvellement et refabrication.

DCV DNS, HTTP et HTTPS : Les horaires de passage du robot

Si, lors de son premier passage, le robot ne trouve pas le fichier alors il revient régulièrement à des horaires définies :

  • Premier passage : après l'appel de vérification finale
  • 10 minutes après
  • 20 minutes après
  • 40 minutes après
  • 80 minutes après
  • 160 minutes après
  • 320 minutes après
  • 640 minutes après
  • 1280 minutes après
  • puis toutes les 1440 minutes (1 jour)