SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
Menu
picture of tbs certificates
picture of tbs certificates
Les produits
Notre gamme
Partenaires
Support
Numéro vert
Focus


Sectigo : Qu'est ce que le challenge DCV ?

Le challenge DCV (Domain Control Validation) permet de vérifier que le demandeur d'un certificat dispose de l'accord de l'exploitant technique du nom de domaine qu'il veut sécuriser. Cette technique est mise en place pour renforcer la sécurité des certificats SSL, en complément des vérifications déjà effectuées.
La validation DCV conditionne la délivrance du certificat SSL.

Les différents types de challenge DCV

Plusieurs méthodes de validation DCV vous seront proposées lors du dépôt de vos commandes techniques de certificat :

Le DCV E-mail

Le principe est simple : un e-mail contenant un code de sécurité est envoyé vers une seule adresse présente dans le titre de propriété du domaine (whois) ou à l'une des adresses génériques suivantes:

  • admin@dom.ai.ne
  • administrator@dom.ai.ne
  • hostmaster@dom.ai.ne
  • webmaster@dom.ai.ne
  • postmaster@dom.ai.ne

La liste des adresses e-mails possibles vous est proposée en fonction du FQDN demandé (Adresse internet à sécuriser inscrite dans le CSR) sur le formulaire de commande (testez ici dès maintenant).
Si aucun e-mail de la liste proposée ne correspond à une adresse valide, il vous est encore possible de modifier les informations de contacts inscrites dans l'enregistrement de votre nom de domaine via votre prestataire de nom de domaine.

Il est possible de changer cet e-mail lors de la vérification finale. Vous pourrez également changer cette adresse et faire renvoyer l'e-mail depuis votre page statut.

Comment se préparer ?

Pour passer ce contrôle, il est nécessaire de pouvoir recevoir cet e-mail DCV.

Nous vous invitons dès maintenant à vérifier que vous pouvez recevoir des e-mails sur l'une des adresses génériques décrites ci-dessus. Envoyez-vous des e-mails de test.
Vérifiez aussi que votre système anti-spam accepte bien les e-mails dont l'émetteur est dcv@tbs-dcv.com.

À NOTER : à partir du 01 juin 2022, l'adresse mél expéditrice pour le challenge DCV dcv@tbs-dcv.com ne sera plus valide. Elle sera remplacée par l'adresse noreply_support@trust-provider.com. Nous vous invitons à mettre a jour votre liste blanche de serveur de mél et/ou votre pare-feu pour éviter que les méls soient bloqués.

Si vous ne recevez habituellement aucune de ces adresses, informez les personnes qui les reçoivent du besoin de vous faire suivre les e-mails de DCV.

Néanmoins nous recommandons de demander la création d'une adresse qui n'existerait pas encore (administrator@dom.ai.ne ?) et qui vous soit directement renvoyée. Ainsi plus de temps perdu à attendre qu'on vous renvoie l'e-mail.

Si vous êtes prestataire, et que les certificats commandés sont pour vos clients, il convient de les en informer. Si vous gérez également leurs noms de domaine, assurez-vous qu'il existe un renvoi entre l'une des adresses génériques décrites ci-dessus et la boîte e-mail de votre client.

A quel moment l'e-mail est-il envoyé ?

L'e-mail est envoyé à la fin du processus d'audit, juste après l'appel de vérification final. Pour les refabrications, l'e-mail est envoyé une fois les contrôles effectués.
À partir de votre page statut du certificat, vous pouvez suivre l'avancement des différentes étapes de vérification de votre dossier puis faire renvoyer automatiquement cet e-mail de contrôle vers l'adresse sélectionnée.

Voir aussi : À quoi ressemble le challenge e-mail DCV ?

Le DCV HTTP

Mise en place en juin 2012, la validation DCV HTTP est une alternative à la validation DCV E-mail.

Comment ça marche ?

Lorsque vous déposez votre commande technique de certificat, un fichier est créé à partir de votre CSR. Placez ce fichier dans le sous répertoire .well-known/pki-validation/ votre site en HTTP (ce dernier doit être accessible via internet). Après l'appel de vérification finale, un robot vérifiera la présence de ce fichier puis de son contenu. Si les informations sont cohérentes avec les informations données lors de la commande le certificat sera délivré.

À noter : Le fichier est crée au dépôt de la commande. Si une correction de CSR vous est demandée pendant la phase d'audit, un nouveau fichier sera alors généré. Vous pourrez le récupérer sur la page statut de votre certificat.

Il est également à noter qu'une nouvelle valeur unique est générée à chaque requête donc une refabrication ou un renouvellement avec le même CSR contiendra un nouveau fichier à déployer.

De même : Imaginons que vous déposiez une demande de certificat pour ssdom.domaine.com, le système recherchera le fichier dans le sous-répertoire .well-known/pki-validation/ de ssdom.domaine.com. Ainsi pour les certificats multiple site sécurisant plusieurs sous-domaines, un fichier doit être placé dans le sous-répertoire .well-known/pki-validation/ de chaque sous-domaine.

Si vous utilisez un serveur Windows, la création du répertoire .well-known peut poser problème, c'est pourquoi nous avons mis en ligne une documentation sur cette étape.

À noter : si vous avez activé le SNI sur votre serveur, il peut arriver que le robot de validation DCV Sectigo ne trouve pas le fichier malgré que celui-ci soit placé au bon endroit.
Si vous rencontrez des difficultés pour valider le DCV, essayez de changer de méthode (par mail ou DNS) si possible, ou bien contactez notre service support.

Cas des certificats et SANs wildcard : Le fichier doit être placé dans le sous-répertoire .well-known/pki-validation/ du domaine sécurisé. Exemple : si vous souhaitez sécuriser *.dom.domaine.com le fichier devra être visible sous dom.domaine.com/.well-known/pki-validation/.

Ce fichier doit avoir une extension .txt, ne doit pas être renommé et son contenu ne doit pas être édité.

Cas de refabrication ou renouvellement

Le fichier .txt est entièrement dépendant du CSR. Toute opération nécessitant la création d'une nouvelle clé engendrera la création d'un nouveau fichier et la validation DCV devra être refaite. En revanche si la clé privée ne change pas le fichier reste le même, ainsi un renouvellement utilisant le CSR d'origine ne demandera pas de nouvelle manipulation.

Adresses IP des serveurs Sectigo

Vous avez besoin de configurer des autorisations pour l'accès à votre fichier HTTP ? Voici les IP Sectigo :

  • 91.199.212.132
  • 91.199.212.148
  • 2a0e:ac00:0231:8080:d00c:12ff:fe51:5511

Le DCV HTTPS

Le DCV HTTPS fonctionne sur le même principe que le DCV HTTP à la seule différence que le fichier doit être placé sur le site en HTTPS.

À noter : Peu importe que le certificat déjà installé soit valide ou non, auto-signé ou même délivré par une autorité de certification non reconnue.

Le DCV DNS - La solution du spécialiste

Il s'agit d'une manipulation technique consistant à ajouter une entrée CNAME à la configuration DNS (Domain Name Service) de votre serveur. Une fois l'appel de vérification final effectué, un robot vient vérifier ces paramètres puis délivre le certificat si tout est conforme.

Comment ça marche ?

Lors du dépot de votre demande de certificat, votre CSR est hashé, une valeur unique et secrète y est ajoutée et les valeurs en résultant vous sont communiquées pour la configuration de votre serveur qui aura alors la forme :

{MD5 hash du CSR}.FQDN CNAME {SHA-256 hash reformatté du CSR}.{valeur unique}.trust-provider.com

Par exemple :

c7fbc2039e400c8ef74129ec7db1842c.www.mondomaine.com CNAME
298a056d3e2f3018bda514defb18129dc5af459e.trust-provider.com.

Attention : Si vous passez par un hébergeur de type OVH ou GANDI la prise en compte de cette configuration n'est pas instantanée. Il faut compter entre 10mn et une heure pour que la modification soit effective (sans compter le temps de propagation défini dans la configuration de votre DNS : TTL).

De même, comme pour le challenge DCV HTTP, si le CSR est modifé en cours d'audit alors il sera de nouveau hashé. Il faudra alors mettre à jour votre configuration DNS.

Il est également à noter qu'une nouvelle valeur unique est générée à chaque requête donc une refabrication ou un renouvellement avec le même CSR contiendra un nouvel enregistrement à déployer.

La documentation spécifique

Les certificats multiple site

Pour les certificats multiple site le principe de base est relativement simple :

1 FQDN = 1 DCV

Cependant des méthodes ont été mises en place pour limiter au maximum le nombre de manipulations à effectuer par le client que ce soit dans le cas de DCV E-mail ou dans celui de DCV HTTP.

Exemple : Si plusieurs FQDN présentent la même adresse e-mail dans leurs WHOIS alors un seul e-mail est envoyé à cette adresse.

À savoir : Les validations DCV pour chaque FQDN sont indépendantes les unes des autres ce qui signifie que vous pouvez choisir le DCV e-mail pour un FQDN et le DCV HTTP pour un autre.

De même une fois votre demande déposée il reste possible de modifier le type de validation DCV pour chaque site à sécuriser depuis la page statut de votre certificat.

Comment relancer le challenge DCV ?

Peu importe le type de challenge selectionné, il est toujours possible d'en demander la relance, soit renvoyer le mail, ou demander au robot de repasser vérifier la présence du fichier .txt ou de la configuration DNS.

Il suffit de vous rendre sur la page statut de votre certificat et cliquer sur le bouton 'Suivi du challenge DCV'.

Quels dossiers sont concernés ?

Tous les certificats de marques TBS X509 et Sectigo, lors de la commande initiale, renouvellement et refabrication.

DCV DNS, HTTP et HTTPS : Les horaires de passage du robot

Si, lors de son premier passage, le robot ne trouve pas le fichier alors il revient régulièrement à des horaires définies :

  • Premier passage : après l'appel de vérification finale
  • 10 minutes après
  • 20 minutes après
  • 40 minutes après
  • 80 minutes après
  • 160 minutes après
  • 320 minutes après
  • 640 minutes après
  • 1280 minutes après
  • puis toutes les 1440 minutes (1 jour)