20250901 - Le MPIC dans les contrôles DCV et CAA
À partir du 1er septembre 2025, le MPIC sera appliquées pour la validation de plusieurs points d'audit de vos certificats SSL.
Qu'est-ce que le MPIC ?
Le MPIC, ou Multi-Perspective Issuance Corroboration, est le fait d'utiliser plusieurs emplacements réseau distincts, situés dans différentes régions du monde pour effectuer une même vérification (DCV ou CAA).
Pourquoi ?
Cette mesure, votée par le le CA/B Forum vise à renforcer la sécurité des validations notamment en cas de piratage du protocol BGP ou encore de manipulation des réponses DNS.
Grâce au contrôle effectué depuis plusieurs perspectives réseau, le MPIC empêche qu’une attaque isolée soit suffisante : un attaquant devrait compromettre plusieurs emplacements distants de façon coordonnée.
Comment ça marche ?
Pour le DCV par exemple, cela veux dire que plusieurs perspectives réseau doivent renvoyer les mêmes informations d'enregistrement DNS ou le même contenu de fichier de site web pour un domaine donné avant que celui-ci ne soit considéré comme validé et que le certificat puisse être émis.
Le principe est le même pour la validation CAA.
Concrètement, une première vérification est effectuée par le réseau principal. Elle doit ensuite être confirmée par plusieurs autres vérifications venant de réseaux secondaires.
Quelles sont les vérifications concernées ?
- la validation DCV via enregistrement DNS (TXT ou CNAME)
- la validation DCV via une adresse trouvée dans un enregistrement DNS
- la validation DCV par fichier à placer sur le site
- la validation CAA
Comment se préparer ?
Si vous utilisez un firewall, un WAF ou tout autre système de filtrage réseau, vous devez vous assurer que les connexions de vérification des autorités de certification ne soient pas bloquées.
Ajouter les adresses IP à votre white list
GlobalSign
Liste des IPs GlobalSign utilisées pour le MPIC :
- 133.88.7.1
- 133.88.7.2
- 133.88.2.112/29
- ap-southeast-2: 52.64.70.230/32
- ca-central-1: 15.156.151.97/32
- eu-central-1: 63.176.81.153/32
- eu-north-1: 16.16.130.86/32
- us-east-1: 18.205.30.124/32
- us-west-1: 54.215.173.133/32
DigiCert
DigiCert recommande d'ajouter l'agent utilisateur "DigiCert DCV Bot/1.1" à votre liste d'autorisation.
Cela vous garantit une protection en cas d'ajout de nouvelles adresses IP, car il inclut automatiquement toutes les adresses IP utilisées par les agents MPIC.
Liste des IPs DigiCert actuellement utilisées pour le MPIC :
- 216.168.240.4
- 216.168.247.9
- 202.65.16.4
- 54.185.245.130
- 13.58.90.0
- 52.17.48.104
- 18.193.239.14
- 54.227.165.213
- 54.241.89.140
- 216.168.240.4
Sectigo
Sectigo utilise des IP dynamique pour le MPIC, de ce fait l'autorité ne publiera pas de liste. Il est donc recommandé d'ajouter l'agent utilisateur "Sectigo DCV" à votre liste d'autorisation.
Support IPv6 et validation MPIC
L’introduction de MPIC a cassé le support des environnements IPv6-only pour la validation par fichier (HTTP DCV).
En pratique, cela signifie que les serveurs accessibles uniquement en IPv6 ne peuvent pas être validés via la méthode fichier HTTP/HTTPS.
À ce jour, aucun de nos fournisseurs ne supporte la validation DCV par fichier sur des serveurs IPv6-only.
Si votre infrastructure fonctionne uniquement en IPv6, nous vous recommandons d’utiliser une autre méthode de validation (via DNS ou adresse mél).