SIGNIFLOW

Découvrez notre plateforme de signature : signez et faites signer vos PDFs en quelques clics !

SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
LES PRODUITS À DÉCOUVRIR

Les certificats SSL La signature de facture Les certificats eIDAS Les logiciels de signature

Menu
picture of tbs certificates
picture of tbs certificates
Les produits
TOUS LES CERTIFICATS
SSL Extended Validation SSL Standard Certificats eIDAS SSL wildcard SSL Multisites / SAN SSL rapide & basique
Certificats spécifiques SSL ECC Certificats VMC
Certificats RGS E-signature Authentification forte (mTLS) Certificats S/MIME
Certificats de test Solutions PKI Sceaux de confiance
SigniFlow : la plateforme pour signer et faire signer vos documents
Logiciel de signature
Notre gamme
TBS X509 DigiCert Thawte Sectigo GlobalSign GeoTrust ChamberSign SigniFlow Harica
Partenaires
Accès client Les comptes clients Ouvrir un compte
Support
FAQ SHA256 : Compatibilité navigateurs ECC : Compatibilité navigateurs
Numéro vert
Focus
Dématérialisation de facture
Nous proposons désormais des solutions répondant aux normes RGS** / eIDAS qualifié pour la signature et l'horodatage de vos factures. En savoir plus


DigiCert : Qu'est ce que le challenge DCV ?

Le challenge DCV (Domain Control Validation) permet de vérifier que le demandeur d'un certificat dispose de l'accord de l'exploitant technique du nom de domaine qu'il veut sécuriser. Cette technique est mise en place pour renforcer la sécurité des certificats SSL, en complément des vérifications déjà effectuées.

Les différents types de challenge DCV

Plusieurs méthodes de validation DCV vous seront proposées lors du dépôt de vos commandes techniques de certificat :

Le DCV E-mail

Le principe est simple : un e-mail est envoyé à toutes les adresses génériques suivantes:

  • admin@dom.ai.ne
  • administrator@dom.ai.ne
  • hostmaster@dom.ai.ne
  • webmaster@dom.ai.ne
  • postmaster@dom.ai.ne

La liste des adresses e-mails possibles vous est proposée en fonction du FQDN demandé (Adresse internet à sécuriser inscrite dans le CSR) sur le formulaire de commande (testez ici dès maintenant).

Vous pourrez changer cette adresse et faire renvoyer l'e-mail depuis votre page statut.

Comment se préparer ?

Pour passer ce contrôle, il est nécessaire de pouvoir recevoir cet e-mail DCV.

Nous vous invitons dès maintenant à vérifier que vous pouvez recevoir des e-mails sur l'une des adresses génériques décrites ci-dessus. Envoyez-vous des e-mails de test.
Vérifiez aussi que votre système anti-spam accepte bien les e-mails dont l'émetteur est :

  • Pour les certificats Thawte : no-reply@thawte.com
  • Pour les certificats RapidSSL : no-reply@rapidssl.com
  • Pour les certificats Geotrust : no-reply@geotrust.com
  • Pour les certificats DigiCert : no-reply@digitalcertvalidation.com

Si vous ne recevez habituellement aucune de ces adresses, informez les personnes qui les reçoivent du besoin de vous faire suivre les e-mails de DCV.

Néanmoins nous recommandons de demander la création d'une adresse qui n'existerait pas encore (administrator@dom.ai.ne ?) et qui vous soit directement renvoyée. Ainsi plus de temps perdu à attendre qu'on vous renvoie l'e-mail.

Si vous êtes prestataire, et que les certificats commandés sont pour vos clients, il convient de les en informer. Si vous gérez également leurs noms de domaine, assurez-vous qu'il existe un renvoi entre l'une des adresses génériques décrites ci-dessus et la boîte e-mail de votre client.

A quel moment l'e-mail est-il envoyé ?

L'e-mail est envoyé dès que votre commande est transféré à l'autorité de certification. Ce dernier est valide 30 jours.
À partir de votre page statut du certificat, vous pouvez suivre l'avancement des différentes étapes de vérification de votre dossier puis faire renvoyer automatiquement cet e-mail de contrôle vers l'adresse sélectionnée.

Le DCV par adresse e-mail présent dans le DNS

Pour utiliser cette méthode, vous devez ajouter une entrée TXT dans votre configuration DNS. L'entrée devra être de la forme suivante :

  • Sous domaine : _validation-contactemail
  • Valeur : email@exemple.fr

Après enregistrement cela donne :

dig txt _validation-contactemail.easyx509.com
 
;; ANSWER SECTION:
_validation-contactemail.easyx509.com. 3600 IN TXT "devcert-dnstxt@tbs-internet.com"

De la même façon que la méthode DCV E-mail, un mél sera envoyé à l'adresse inscrite dans l'enregistrement DNS

Le DCV HTTP / HTTPS

Note : Depuis le 1er décembre 2021, suite à une décision du CA/B Forum, il n'est pas plus possible d'utiliser le DCV HTTP ou HTTPS pour les certificats wildcard. Seules les méthodes par mél ou par DNS sont proposées.

Comment ça marche ?

Lorsque votre commande est transférée à l'autorité de certification, un fichier est créé à partir de votre CSR. Placez ce fichier dans le sous répertoire .well-known/pki-validation/ votre site en HTTP ou HTTPS (ce dernier doit être accessible via internet). Un robot vérifiera la présence de ce fichier puis de son contenu. Si les informations sont cohérentes avec les informations données le challenge sera validé.

De même : Imaginons que vous déposiez une demande de certificat pour ssdom.domaine.com, le système recherchera le fichier dans le sous-répertoire .well-known/pki-validation/ de ssdom.domaine.com. Ainsi pour les certificats multiple site sécurisant plusieurs sous-domaines, un fichier doit être placé dans le sous-répertoire .well-known/pki-validation/ de chaque sous-domaine.

Si vous utilisez un serveur Windows, la création du répertoire .well-known peut poser problème, c'est pourquoi nous avons mis en ligne une documentation sur cette étape.

Ce fichier doit s'appeler fileauth.txt, ne doit pas être renommé et son contenu ne doit pas être édité.

Adresses IP des serveurs Digicert

Vous avez besoin de configurer des autorisations pour l'accès à votre fichier HTTP ? Voici les IP Digicert :

  • 216.168.244.37
  • 216.168.244.41
  • 216.168.244.42

Le DCV DNS - La solution du spécialiste

Il s'agit d'une manipulation technique consistant à ajouter une entrée CNAME ou TXT à la configuration DNS (Domain Name Service) de votre serveur.

Comment ça marche ?

Une fois votre commande transférée à l'autorité de certification, une valeur aléatoire vous est communiquée pour la configuration de votre serveur.

Enregistrement TXT

FQDN. 3600 IN TXT {valeur unique}
ou 
_dnsauth.FQDN. 3600 IN TXT {valeur unique}

Par exemple :

ssdom.domaine.com. 3600 IN TXT _z3n6gktaa9mubcyzojck2sos5h3tkal
ou 
_dnsauth.ssdom.domaine.com. 3600 IN TXT _z3n6gktaa9mubcyzojck2sos5h3tkal

Enregistrement CNAME

_dnsauth.FQDN. 3600 IN CNAME {valeur unique}.dcv.digicert.com.

Par exemple :

_dnsauth.ssdom.domaine.com. 3600 IN CNAME _z3n6gktaa9mubcyzojck2sos5h3tkal.dcv.digicert.com.

Attention : Si vous passez par un hébergeur de type OVH ou GANDI la prise en compte de cette configuration n'est pas instantanée. Il faut compter entre 10mn et une heure pour que la modification soit effective (sans compter le temps de propagation défini dans la configuration de votre DNS : TTL).

La documentation spécifique

Comment relancer le challenge DCV ?

Peu importe le type de challenge sélectionné, il est toujours possible d'en demander la relance, soit renvoyer le mail, ou demander au robot de repasser vérifier la présence du fichier .txt ou de la configuration DNS.

Il suffit de vous rendre sur la page statut de votre certificat et cliquer sur le bouton 'Suivi du challenge DCV'.
Si la relance n'est pas possible, vous pouvez contacter par tchat le support Digicert via le bouton "Livechat" présent sur la page statut de votre commande. Une fois en contact avec le support, demandez la relance du challenge DCV.

Quels dossiers sont concernés ?

Tous les certificats serveur des marques Symantec, Thawte et Geotrust, lors de la commande initiale, renouvellement et refabrication.

DCV DNS, HTTP et HTTPS : Les horaires de passage du robot

Si, lors de son premier passage, le robot ne trouve pas le fichier alors il revient régulièrement à des horaires définies :

  • toutes les minutes pendant les 15 premières minutes
  • toutes les 5 minutes pendant l'heure suivante
  • toutes les 15 min pendant les 4 heures suivantes
  • puis toutes les heures pendant une journée
  • puis toutes les 4 heures pendant 2 semaines
  • et enfin une fois par jour pendant 30 jours