Validation de domaine (DV)

Conditions d'authentification

Les certificats SSL de validation de domaine (DV) offrent un niveau élevé de confiance au consommateur en sécurisant la connexion entre le navigateur Web du client et votre site Web. Les instructions de vérification de la validation de domaine (DV) fournissent un processus rapide et efficace pour sécuriser rapidement votre site Web.

Les certificats SSL de validation de domaine (DV) sont le moyen pour une autorité de certification (AC) de vérifier et confirmer que la personne qui a acheté le certificat SSL a le droit de le faire pour le nom de domaine spécifié. Le certificat SSL est ensuite émis avec le nom de domaine uniquement dans le certificat. Aucune information d'organisation / entreprise n'est incluse.

Les certificats SSL de validation de domaine ont l'avantage d'être émis presque immédiatement et sans qu'il soit nécessaire de soumettre des documents.

Les produits de certificat SSL de validation de domaine sont authentifiés à l'aide de l'une des trois méthodes de validation suivantes :

  • Validation du contrôle de domaine (DCV) par courrier électronique envoyé à l’approbateur
  • Validation du contrôle de domaine (DCV) par HTTP / fichier
  • Validation de contrôle de domaine (DCV) par DNS CNAME

Les commandes de grandes entreprises, de marques commerciales renommées et d’institutions financières peuvent être mises en file d’attente pour d’autres examens de sécurité avant l’émission.

Dans le cas où une commande est mise en attente de révision, le contact administratif doit être un employé à temps plein de la société pour que l'émission soit réussie. Un appel téléphonique de vérification avec le contact administratif peut être nécessaire.

Courriel de validation de contrôle de domaine (DCV) envoyé à l'approbateur

Lorsque vous choisissez d'acheter un certificat SSL de validation de domaine, une adresse électronique sera choisie parmi une liste d’options acceptables lors de la commande. Nous enverrons un courrier électronique à l'adresse choisie, contenant un code de validation unique. Un lien est également fourni qui, une fois qu'on clique dessus, permet de saisir le code de validation, prouvant ainsi le contrôle du domaine. Les adresses électroniques génériques suivantes peuvent actuellement être utilisées :

  • admin@votredomaine.com
  • administrator@votredomaine.com
  • hostmaster@votredomaine.com
  • webmaster@votredomaine.com
  • postmaster@votredomaine.com

Les adresses électroniques ci-dessus sont des adresses électroniques génériques. Les candidats doivent choisir une adresse électronique générique pour prouver qu'ils administrent le nom de domaine achetant le certificat SSL. Si nous sommes en mesure de récupérer les adresses électroniques de l'administrateur, du déclarant, du technicien ou de la zone à partir de la base de données WHOIS, elles peuvent également être utilisées.

Si, au cours du processus de commande, nous ne sommes pas en mesure d'extraire l'adresse électronique de l'administrateur, du déclarant, du technicien ou de la zone de la base de données WHOIS, veuillez choisir une adresse générique, puis contactez-nous, car nous pourrons éventuellement mettre à jour manuellement la commande. avec l'adresse électronique de contact de la base de données WHOIS.

Validation de contrôle de domaine (DCV) par HTTP / fichier

La norme DCV par HTTP requiert qu'un serveur HTTP s'exécute sur le port 80 ou qu'un serveur HTTPS s'exécute sur le port 443 du nom de domaine d'autorisation. Nous suivons les CNAME lorsque vous complétez le DCV par HTTP. Nous recherchons le fichier dans chaque domaine d'autorisation valide, c'est-à-dire que nous commençons par le nom de domaine complet (FQDN), puis nous allons supprimer une ou plusieurs étiquettes de gauche à droite dans le nom de domaine complet et rechercher le fichier dans chaque domaine intermédiaire.

Pour compléter votre commande en utilisant cette méthode d'authentification, vous devrez installer un fichier de validation sur votre site web. Le fichier de validation permet à nos systèmes d'authentifier votre commande de certificat SSL. Le fichier de validation doit être situé dans un répertoire spécifique.

Pour terminer cette tâche, vous devez créer un nouveau répertoire au niveau racine de la structure de fichiers de votre site Web existant, appelé :

.well-known

De plus, dans ce répertoire nouvellement créé, vous devrez créer un autre répertoire appelé :

pki-validation

Lorsque vous passez une commande pour votre certificat SSL, deux hachages sont créés à partir de la CSR que vous avez générée et fournie. Un fichier de texte brut doit être créé sur le serveur HTTP / S du nom de domaine d'autorisation, avec un hachage comme nom de fichier et un hachage dans le fichier texte lui-même. Nous appelons ce fichier texte le jeton de demande.

Par exemple : Une CSR est générée avec le nom commun (CN) sous le nom www.votredomaine.com. Le nom de domaine d'autorisation sera votredomaine.com. La CSR est hachée à l'aide des algorithmes de hachage MD5 et SHA-256.

Vous trouverez ci-dessous un exemple de hachage MD5 et de hachage SHA-256 générés que nous allons utiliser pour nos exemples.

  • MD5 : C7FBC2039E400C8EF74129EC7DB1842C
  • SHA-256 : c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f

Un fichier devra être créé en utilisant le hash MD5 comme nom de fichier et .txt comme extension de fichier.

Vous trouverez ci-dessous un exemple de ce à quoi le chemin du site Web devra ressemblerv :

https://www.votredomaine.com/.well-known/pki-validation/C7FBC2039E400C8EF74129EC7DB1842C.txt

Dans ce fichier texte créé, le hachage SHA-256 et le domaine comodoca.com sur la ligne suivante devront être ajoutés.

Vous trouverez ci-dessous un exemple de contenu du fichier texte :

c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f comodoca.com

Une fois que la commande est reçue et que le format DCV par HTTP est spécifié, le système de validation vérifie la présence du fichier texte et son contenu. Si le fichier est trouvé et que les valeurs de hachage correspondent, le contrôle de domaine est prouvé.

Une fois votre commande passée et en cours de traitement, vous recevrez un courrier électronique contenant les hachages et les instructions d'utilisation. Pour le format DCV par HTTP, votre courrier électronique contiendra une pièce jointe contenant le fichier avec les hachages appliqués au fichier. Cela vous permettra simplement d’ajouter le fichier à la structure de répertoires appropriée, comme indiqué ci-dessus.

Vous pouvez également accéder aux hachages et instructions de votre compte Trustico®. Il suffit de consulter votre commande et les instructions et les hachages y seront disponibles.

Validation de contrôle de domaine (DCV) par DNS CNAME

La DCV par DNS CNAME nécessite la création d'un enregistrement DNS CNAME unique, redirigé vers l'autorité de certification du certificat SSL acheté. Le CNAME est ensuite vérifié sur chaque domaine d’autorisation valide, c’est-à-dire que nous commençons par le nom de domaine pleinement qualifié (FQDN), puis nous allons effacer une ou plusieurs étiquettes de gauche à droite dans le nom de domaine complet et rechercher le CNAME sur chaque domaine intermédiaire.

Par exemple : Dans le cas demande de certificat pour le FQDN *.mail.internal.votredomaine.com, nous rechercherions l'enregistrement DNS CNAME à ces endroits et dans cet ordre :

  • mail.internal.trustico.com
  • internal.trustico.com
  • trustico.com

Lorsque vous passez une commande pour votre certificat SSL, deux hachages sont créés à partir de la CSR que vous avez générée et fournie. Un enregistrement DNS CNAME doit être créé sous le nom de domaine d'autorisation et nous appelons le contenu de l'enregistrement DNS CNAME le jeton de demande.

Par exemple : Une CSR est générée avec le nom commun (CN) sous le nom www.votredomaine.com. Le nom de domaine d'autorisation sera votredomaine.com. La CSR est hachée à l'aide des algorithmes de hachage MD5 et SHA-256.

Vous trouverez ci-dessous un exemple de hachage MD5 généré et de hachage SHA-256 que nous allons utiliser pour nos exemples.

  • MD5 : C7FBC2039E400C8EF74129EC7DB1842C
  • SHA-256 : c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f

Pour compléter votre commande à l'aide de cette méthode d'authentification, vous devez ajouter un enregistrement DNS CNAME à vos serveurs DNS afin que nos systèmes puissent authentifier votre commande de certificat SSL.

Dans la plupart des cas, vos enregistrements DNS sont gérés par votre fournisseur d'hébergement ou par le registre de votre domaine. Si vous avez accès à vos enregistrements DNS, vous devez ajouter l'enregistrement ci-dessus pour satisfaire aux exigences de validation.

Au cours de la procédure de validation, vous recevrez un courrier électronique contenant des instructions pour vous aider à mieux utiliser cette méthode d'authentification. Si vos enregistrements DNS sont gérés par votre fournisseur d'hébergement ou votre registre de domaine, vous pouvez envoyer le courrier électronique à votre fournisseur d'hébergement ou à votre registre de domaine si vous n'avez pas accès à vos enregistrements DNS.

Vous trouverez ci-dessous un exemple de la manière dont l'enregistrement DNS CNAME devra être structuré :

Enregistrement DNS CNAME : _<MD5 Hash>.votredomaine.com CNAME

Valeur DNS CNAME : <SHA-256 Hash>.[<Unique Value>.]comodoca.com

Veuillez noter :

  • Le tiret bas au début du hachage MD5. Ce tiret est important et nécessaire et doit faire partie de l’enregistrement DNS CNAME pour que nos serveurs le récupèrent aux fins de validation.
  • La <Valeur unique> est une valeur facultative et n'est pas nécessaire pour terminer le processus de validation, sauf si vous souhaitez qu'une valeur unique existe. Si vous souhaitez inclure une valeur unique dans votre enregistrement DNS CNAME, veuillez nous contacter pour discuter plus en détail de vos besoins.

Une fois l’enregistrement DNS CNAME créé, notre système vérifie périodiquement pendant jusqu’à 30 jours pour le localiser. L’enregistrement DNS CNAME permet d’authentifier votre commande de certificat SSL et de l’émettre.

Pour effectuer une conversion DCV basée sur un enregistrement DNS CNAME, voici un exemple de la manière dont l’enregistrement DNS CNAME et sa valeur doivent se présenter :

Enregistrement DNS CNAME: _C7FBC2039E400C8EF74129EC7DB1842C.votredomaine.com CNAME

Valeur DNS CNAME (sans valeur unique) : c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f.comodoca.com

Valeur DNS CNAME (avec une valeur unique) : c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f.votre-valeur-unique.comodoca.com

Les noms de domaine d'autorisation seront analysés pour détecter la présence de cet enregistrement DNS CNAME. S'il est trouvé, le contrôle de domaine est prouvé et le certificat de validation de domaine (DV) peut être émis.

Une fois votre commande passée et en cours de traitement, vous recevrez un courrier électronique contenant les hachages et les instructions d'utilisation. Pour le DCV par DNS CNAME, votre adresse e-mail contient un bloc de code conçu pour vous permettre de simplement le copier et le coller dans votre enregistrement CNAME.

Vous pouvez également accéder aux hachages et instructions depuis votre compte Trustico®. Il suffit de consulter votre commande et les instructions et les hachages y seront disponibles.

Informations additionnelles

L'émission de certificats SSL de validation de domaine ne prend que 5 minutes à l'aide de l'une des méthodes d'authentification ci-dessus. Certains domaines peuvent être retenus pour des vérifications de validation supplémentaires s'ils sont mis en file d'attente. Si vous pensez que votre commande de certificat SSL n'est pas émise à temps, vous pouvez nous contacter nous contacter et nous vous aiderons à compléter votre commande pour son émission.