GlobalSign : Qu'est ce que le challenge DCV ?
Le challenge DCV (Domain Control Validation) permet de vérifier que le demandeur d'un certificat dispose de l'accord de l'exploitant technique du nom de domaine qu'il veut sécuriser. Cette technique est mise en place pour renforcer la sécurité des certificats SSL, en complément des vérifications déjà effectuées.
Les différents types de challenge DCV
Plusieurs méthodes de validation DCV vous seront proposées lors du dépôt de vos commandes techniques de certificat :
Le DCV E-mail
Le principe est simple : un e-mail est envoyé vers une adresse présente dans le titre de propriété du domaine (whois) ou à l'une des adresses génériques suivantes:
- admin@dom.ai.ne
- administrator@dom.ai.ne
- hostmaster@dom.ai.ne
- webmaster@dom.ai.ne
- postmaster@dom.ai.ne
La liste des adresses e-mails possibles vous est proposée en fonction du FQDN demandé
(Adresse internet à sécuriser inscrite dans le CSR) sur le formulaire de commande
(testez
ici dès maintenant).
Si aucun e-mail de la liste proposée ne correspond à une adresse valide, il vous est encore
possible de modifier les informations de contacts inscrites dans l'enregistrement de votre
nom de domaine via votre prestataire de nom de domaine.
Vous pourrez changer cette adresse et faire renvoyer l'e-mail depuis votre page statut.
Comment se préparer ?
Pour passer ce contrôle, il est nécessaire de pouvoir recevoir cet e-mail DCV.
Nous vous invitons dès maintenant à vérifier que vous pouvez recevoir des e-mails sur
l'une des adresses génériques décrites ci-dessus. Envoyez-vous des e-mails de test.
Vérifiez aussi que votre système anti-spam accepte bien les e-mails dont l'émetteur est : no_reply@globalsign.com
Si vous ne recevez habituellement aucune de ces adresses, informez les personnes qui les reçoivent du besoin de vous faire suivre les e-mails de DCV.
Néanmoins nous recommandons de demander la création d'une adresse qui n'existerait pas encore (administrator@dom.ai.ne ?) et qui vous soit directement renvoyée. Ainsi plus de temps perdu à attendre qu'on vous renvoie l'e-mail.
Si vous êtes prestataire, et que les certificats commandés sont pour vos clients, il convient de les en informer. Si vous gérez également leurs noms de domaine, assurez-vous qu'il existe un renvoi entre l'une des adresses génériques décrites ci-dessus et la boîte e-mail de votre client.
A quel moment l'e-mail est-il envoyé ?
L'e-mail est envoyé dès que votre commande est transféré à l'autorité de certification. Ce
dernier est valide 30 jours.
À partir de votre page statut du certificat, vous pouvez suivre l'avancement des différentes
étapes de vérification de votre dossier puis faire renvoyer automatiquement cet e-mail de contrôle
vers l'adresse sélectionnée.
Le DCV par adresse e-mail présent dans le DNS
Pour utiliser cette méthode, vous devez ajouter une entrée TXT dans votre configuration DNS. L'entrée devra être de la forme suivante :
- Sous domaine : _validation-contactemail
- Valeur : email@exemple.fr
Apres enregistrement cela donne :
dig txt _validation-contactemail.easyx509.com ;; ANSWER SECTION: _validation-contactemail.easyx509.com. 3600 IN TXT "devcert-dnstxt@tbs-internet.com"
De la même facon que la méthode DCV E-mail, un mél sera envoyé à l'adresse inscrite dans l'enregistrement DNS
GlobalSign ne propose pas cette option de façon automatique. Il faudra donc nous contacter si vous souhaitez utiliser cette méthode de validation DCV.
Le DCV HTTP / HTTPS
Note : Depuis le 1er décembre 2021, suite à une décision du CA/B Forum, il n'est pas plus possible d'utiliser le DCV HTTP ou HTTPS pour les certificats wildcard. Seules les méthodes par mél ou par DNS sont proposées.
Comment ça marche ?
Lorsque votre commande est transférée à l'autorité de certification, un code est créé à partir de votre CSR. Placez ce code dans un fichier texte qui portera le nom "gsvd.txt". Ce fichier devra être dans le sous répertoire .well-known/pki-validation/ de votre site en HTTP ou HTTPS (ce dernier doit être accessible via internet). Un robot vérifiera la présence de ce fichier puis de son contenu. Si les informations sont cohérentes avec les informations données le challenge sera validé.
De même : Imaginons que vous déposiez une demande de certificat pour ssdom.domaine.com, le système recherchera le fichier dans le sous-répertoire .well-known/pki-validation/ de ssdom.domaine.com. Ainsi pour les certificats multiple site sécurisant plusieurs sous-domaines, un fichier doit être placé dans le sous-répertoire .well-known/pki-validation/ de chaque sous-domaine.
Si vous utilisez un serveur Windows, la création du répertoire .well-known peut poser problème, c'est pourquoi nous avons mis en ligne une documentation sur cette étape.
Pour rappel, ce fichier doit s'appeler gsvd.txt, ne doit pas être renommé et son contenu ne doit pas être édité.
Adresses IP des serveurs GlobalSign
Vous avez besoin de configurer des autorisations pour l'accès à votre fichier HTTP ? Voici les IP GlobalSign :
- 104.18.21.226
- 104.18.20.226
Le DCV DNS - La solution du spécialiste
Il s'agit d'une manipulation technique consistant à ajouter une entrée TXT à la configuration DNS (Domain Name Service) de votre serveur.
Comment ça marche ?
Une fois votre commande transférée à l'autorité de certification, un code DCV vous sera fourni. Ce code aura la forme suivante :
_globalsign-domain-verification=codesecret
Par exemple :
ssdom.domaine.com. 3600 IN TXT "_globalsign-domain-verification=20180222202651ztkf61glu4h63r88opc9g1n5y5hveqf8r2t7cwuxugdiu72x1y"
Attention : Si vous passez par un hébergeur de type OVH ou GANDI la prise en compte de cette configuration n'est pas instantanée. Il faut compter entre 10mn et une heure pour que la modification soit effective (sans compter le temps de propagation défini dans la configuration de votre DNS : TTL).
La documentation spécifique
- Procédure DCV DNS pour les certificats chez GANDI.net
- Procédure DCV DNS pour les certificats chez OVH.com
Comment relancer le challenge DCV ?
Peu importe le type de challenge selectionné, il est toujours possible d'en demander la relance, soit renvoyer le mail, ou demander au robot de repasser vérifier la présence du fichier .txt ou de la configuration DNS.
Il suffit de vous rendre sur la page statut de votre certificat et cliquer sur le bouton 'Suivi du challenge DCV'.
Si vous rencontrez des difficultés, il est possible de contacter directement le support GlobalSign par tchat : Support GlobalSign.
Descendez tout en bas de la page et cliquez sur "Chat with Us" et ensuite sur le côté droit "Live chat".
Quels dossiers sont concernés ?
Tous les certificats serveur de GlobalSign, lors de la commande initiale, renouvellement et refabrication.
DCV DNS, HTTP et HTTPS : Les horaires de passage du robot
Si, lors de son premier passage, le robot ne trouve pas le fichier alors il revient régulièrement à des horaires définies :
- toutes les minutes pendant les 15 premières minutes
- toutes les 5 minutes pendant l'heure suivante
- toutes les 15 min pendant les 4 heures suivantes
- puis toutes les heures pendant une journée
- puis toutes les 4 heures pendant 2 semaines
- et enfin une fois par jour pendant 30 jours