Menu
picture of tbs certificates
picture of tbs certificates
Les produits
Notre gamme
Partenaires
Support
Numéro vert
Focus


Certigna : Qu'est ce que le challenge DCV ?

Le challenge DCV (Domain Control Validation) permet de vérifier que le demandeur d'un certificat dispose de l'accord de l'exploitant technique du nom de domaine qu'il veut sécuriser. Cette technique est mise en place pour renforcer la sécurité des certificats SSL, en complément des vérifications déjà effectuées.

Les différents types de challenge DCV

Plusieurs méthodes de validation DCV vous seront proposées lors du dépôt de vos commandes techniques de certificat :

Le DCV E-mail

Le principe est simple : un e-mail est envoyé vers une des adresses génériques suivantes:

  • admin@dom.ai.ne
  • administrator@dom.ai.ne
  • hostmaster@dom.ai.ne
  • webmaster@dom.ai.ne
  • postmaster@dom.ai.ne

La liste des adresses e-mails possibles vous est proposée en fonction du FQDN demandé (Adresse internet à sécuriser inscrite dans le CSR) sur le formulaire de commande.

Vous pourrez changer cette adresse et faire renvoyer l'e-mail depuis votre page statut.

Comment se préparer ?

Pour passer ce contrôle, il est nécessaire de pouvoir recevoir cet e-mail DCV.

Nous vous invitons dès maintenant à vérifier que vous pouvez recevoir des e-mails sur l'une des adresses génériques décrites ci-dessus. Envoyez-vous des e-mails de test.
Vérifiez aussi que votre système anti-spam accepte bien les e-mails dont l'émetteur est : dcv@certigna.fr

Si vous ne recevez habituellement aucune de ces adresses, informez les personnes qui les reçoivent du besoin de vous faire suivre les e-mails de DCV.

Néanmoins nous recommandons de demander la création d'une adresse qui n'existerait pas encore (administrator@dom.ai.ne ?) et qui vous soit directement renvoyée. Ainsi plus de temps perdu à attendre qu'on vous renvoie l'e-mail.

Si vous êtes prestataire, et que les certificats commandés sont pour vos clients, il convient de les en informer. Si vous gérez également leurs noms de domaine, assurez-vous qu'il existe un renvoi entre l'une des adresses génériques décrites ci-dessus et la boîte e-mail de votre client.

A quel moment l'e-mail est-il envoyé ?

L'e-mail est envoyé dès que votre commande est transféré à l'autorité de certification. Ce dernier est valide 30 jours.
À partir de votre page statut du certificat, vous pouvez suivre l'avancement des différentes étapes de vérification de votre dossier puis faire renvoyer automatiquement cet e-mail de contrôle vers l'adresse sélectionnée.

Le DCV HTTP / HTTPS

Comment ça marche ?

Lorsque votre commande est transférée à l'autorité de certification, un fichier est créé à partir de votre CSR. Placez ce fichier dans le sous répertoire .well-known/pki-validation/ votre site en HTTP ou HTTPS (ce dernier doit être accessible via internet). Un robot vérifiera la présence de ce fichier puis de son contenu. Si les informations sont cohérentes avec les informations données le challenge sera validé.

De même : Imaginons que vous déposiez une demande de certificat pour ssdom.domaine.com, le système recherchera le fichier dans le sous-répertoire .well-known/pki-validation/ de ssdom.domaine.com. Ainsi pour les certificats multiple site sécurisant plusieurs sous-domaines, un fichier doit être placé dans le sous-répertoire .well-known/pki-validation/ de chaque sous-domaine.

Si vous utilisez un serveur Windows, la création du répertoire .well-known peut poser problème, c'est pourquoi nous avons mis en ligne une documentation sur cette étape.

Cas des certificats et SANs wildcard : Le fichier doit être placé dans le sous-répertoire .well-known/pki-validation/ du domaine sécurisé. Exemple : si vous souhaitez sécuriser *.dom.domaine.com le fichier devra être visible sous dom.domaine.com/.well-known/pki-validation/.

Ce fichier doit porte un nom unique lié à votre demande, par exemple: 3fe988e5-6d49-4fe0-a4b2-8eb0120c2e89.txt, ne doit pas être renommé et son contenu ne doit pas être édité.

Adresses IP des serveurs Certigna

Vous avez besoin de configurer des autorisations pour l'accès à votre fichier HTTP ? Voici les IP Certigna :

  • 46.29.127.179
  • 109.197.245.9

Le DCV DNS - La solution du spécialiste

Il s'agit d'une manipulation technique consistant à ajouter une entrée CNAME à la configuration DNS (Domain Name Service) de votre serveur.

Comment ça marche ?

Une fois votre commande transférée à l'autorité de certification, des valeurs secrètes et uniques vous sont communiquées pour la configuration de votre serveur. L'entrée CNAME aura la forme :

_<identifiant unique>.domaine.com CNAME <valeur secrète>.certigna.com

Par exemple :

_7b603cfe-c16e-4d9c-9e0a-2ceef572ec9f.domaine.com CNAME pzvfdgwx5ekk5xwv1dec.certigna.com

Ces valeurs sont valables 30 jours. Si vous n'avez pas eu le temps de mettre en place ces valeurs sur votre serveur DNS et que ce délai est dépassé, il faudra régénérer de nouvelles valeurs. Pour ce faire, rendez-vous sur la page statut de la commande et cliquez sur le bouton "Suivi du challenge DCV". Modifier le type de challenge à "Fichier" puis validez. Enfin rechoisissez le type "DNS" et validez de nouveau. À partir de là, de nouvelles valeurs seront disponibles, également valables 30 jours

Attention : Si vous passez par un hébergeur de type OVH ou GANDI la prise en compte de cette configuration n'est pas instantanée. Il faut compter entre 10mn et une heure pour que la modification soit effective (sans compter le temps de propagation défini dans la configuration de votre DNS : TTL).

La documentation spécifique

Comment relancer le challenge DCV ?

Peu importe le type de challenge selectionné, il est toujours possible d'en demander la relance, soit renvoyer le mail, ou demander au robot de repasser vérifier la présence du fichier .txt ou de la configuration DNS.

Il suffit de vous rendre sur la page statut de votre certificat et cliquer sur le bouton 'Suivi du challenge DCV'.

Quels dossiers sont concernés ?

Tous les certificats serveur Certigna, ainsi que les certificats serveur client lorsqu'ils sécurisent une machine avec un CN de la forme machine1.domaine.com, lors de la commande initiale, renouvellement et refabrication.