Menu
picture of tbs certificates
picture of tbs certificates
Les produits
Notre gamme
Partenaires
Support
Numéro vert
Focus


GlobalSign : Qu'est ce que le challenge DCV ?

Le challenge DCV (Domain Control Validation) permet de vérifier que le demandeur d'un certificat dispose de l'accord de l'exploitant technique du nom de domaine qu'il veut sécuriser. Cette technique est mise en place pour renforcer la sécurité des certificats SSL, en complément des vérifications déjà effectuées.

Les différents types de challenge DCV

Plusieurs méthodes de validation DCV vous seront proposées lors du dépôt de vos commandes techniques de certificat :

Le DCV E-mail

Le principe est simple : un e-mail est envoyé vers une adresse présente dans le titre de propriété du domaine (whois) ou à l'une des adresses génériques suivantes:

  • admin@dom.ai.ne
  • administrator@dom.ai.ne
  • hostmaster@dom.ai.ne
  • webmaster@dom.ai.ne
  • postmaster@dom.ai.ne

La liste des adresses e-mails possibles vous est proposée en fonction du FQDN demandé (Adresse internet à sécuriser inscrite dans le CSR) sur le formulaire de commande (testez ici dès maintenant).
Si aucun e-mail de la liste proposée ne correspond à une adresse valide, il vous est encore possible de modifier les informations de contacts inscrites dans l'enregistrement de votre nom de domaine via votre prestataire de nom de domaine.

Vous pourrez changer cette adresse et faire renvoyer l'e-mail depuis votre page statut.

Comment se préparer ?

Pour passer ce contrôle, il est nécessaire de pouvoir recevoir cet e-mail DCV.

Nous vous invitons dès maintenant à vérifier que vous pouvez recevoir des e-mails sur l'une des adresses génériques décrites ci-dessus. Envoyez-vous des e-mails de test.
Vérifiez aussi que votre système anti-spam accepte bien les e-mails dont l'émetteur est : no_reply@globalsign.com

Si vous ne recevez habituellement aucune de ces adresses, informez les personnes qui les reçoivent du besoin de vous faire suivre les e-mails de DCV.

Néanmoins nous recommandons de demander la création d'une adresse qui n'existerait pas encore (administrator@dom.ai.ne ?) et qui vous soit directement renvoyée. Ainsi plus de temps perdu à attendre qu'on vous renvoie l'e-mail.

Si vous êtes prestataire, et que les certificats commandés sont pour vos clients, il convient de les en informer. Si vous gérez également leurs noms de domaine, assurez-vous qu'il existe un renvoi entre l'une des adresses génériques décrites ci-dessus et la boîte e-mail de votre client.

A quel moment l'e-mail est-il envoyé ?

L'e-mail est envoyé dès que votre commande est transféré à l'autorité de certification. Ce dernier est valide 30 jours.
À partir de votre page statut du certificat, vous pouvez suivre l'avancement des différentes étapes de vérification de votre dossier puis faire renvoyer automatiquement cet e-mail de contrôle vers l'adresse sélectionnée.

Le DCV par adresse e-mail présent dans le DNS

Pour utiliser cette méthode, vous devez ajouter une entrée TXT dans votre configuration DNS. L'entrée devra être de la forme suivante :

  • Sous domaine : _validation-contactemail
  • Valeur : email@exemple.fr

Apres enregistrement cela donne :

dig txt _validation-contactemail.easyx509.com
 
;; ANSWER SECTION:
_validation-contactemail.easyx509.com. 3600 IN TXT "devcert-dnstxt@tbs-internet.com"

De la même facon que la méthode DCV E-mail, un mél sera envoyé à l'adresse inscrite dans l'enregistrement DNS

GlobalSign ne propose pas cette option de façon automatique. Il faudra donc nous contacter si vous souhaitez utiliser cette méthode de validation DCV.

Le DCV HTTP / HTTPS

Comment ça marche ?

Lorsque votre commande est transférée à l'autorité de certification, un code est créé à partir de votre CSR. Placez ce code dans un fichier texte qui portera le nom "gsvd.txt". Ce fichier devra être dans le sous répertoire .well-known/pki-validation/ de votre site en HTTP ou HTTPS (ce dernier doit être accessible via internet). Un robot vérifiera la présence de ce fichier puis de son contenu. Si les informations sont cohérentes avec les informations données le challenge sera validé.

De même : Imaginons que vous déposiez une demande de certificat pour ssdom.domaine.com, le système recherchera le fichier dans le sous-répertoire .well-known/pki-validation/ de ssdom.domaine.com. Ainsi pour les certificats multiple site sécurisant plusieurs sous-domaines, un fichier doit être placé dans le sous-répertoire .well-known/pki-validation/ de chaque sous-domaine.

Si vous utilisez un serveur Windows, la création du répertoire .well-known peut poser problème, c'est pourquoi nous avons mis en ligne une documentation sur cette étape.

Cas des certificats et SANs wildcard : Le fichier doit être placé dans le sous-répertoire .well-known/pki-validation/ du domaine sécurisé. Exemple : si vous souhaitez sécuriser *.dom.domaine.com le fichier devra être visible sous dom.domaine.com/.well-known/pki-validation/.

Pour rappel, ce fichier doit s'appeler gsvd.txt, ne doit pas être renommé et son contenu ne doit pas être édité.

Adresses IP des serveurs GlobalSign

Vous avez besoin de configurer des autorisations pour l'accès à votre fichier HTTP ? Voici les IP GlobalSign :

  • 104.18.21.226
  • 104.18.20.226

Le DCV DNS - La solution du spécialiste

Il s'agit d'une manipulation technique consistant à ajouter une entrée TXT à la configuration DNS (Domain Name Service) de votre serveur.

Comment ça marche ?

Une fois votre commande transférée à l'autorité de certification, un code DCV vous sera fourni. Ce code aura la forme suivante :

_globalsign-domain-verification=codesecret

Par exemple :

ssdom.domaine.com.     3600    IN      TXT     
"_globalsign-domain-verification=20180222202651ztkf61glu4h63r88opc9g1n5y5hveqf8r2t7cwuxugdiu72x1y"

Attention : Si vous passez par un hébergeur de type OVH ou GANDI la prise en compte de cette configuration n'est pas instantanée. Il faut compter entre 10mn et une heure pour que la modification soit effective (sans compter le temps de propagation défini dans la configuration de votre DNS : TTL).

La documentation spécifique

Comment relancer le challenge DCV ?

Peu importe le type de challenge selectionné, il est toujours possible d'en demander la relance, soit renvoyer le mail, ou demander au robot de repasser vérifier la présence du fichier .txt ou de la configuration DNS.

Il suffit de vous rendre sur la page statut de votre certificat et cliquer sur le bouton 'Suivi du challenge DCV'.

Si vous rencontrez des difficultés, il est possible de contacter directement le support GlobalSign par tchat : Support GlobalSign.
Descendez tout en bas de la page et cliquez sur "Chat with Us" et ensuite sur le côté droit "Live chat".

Quels dossiers sont concernés ?

Tous les certificats serveur de GlobalSign, lors de la commande initiale, renouvellement et refabrication.

DCV DNS, HTTP et HTTPS : Les horaires de passage du robot

Si, lors de son premier passage, le robot ne trouve pas le fichier alors il revient régulièrement à des horaires définies :

  • toutes les minutes pendant les 15 premières minutes
  • toutes les 5 minutes pendant l'heure suivante
  • toutes les 15 min pendant les 4 heures suivantes
  • puis toutes les heures pendant une journée
  • puis toutes les 4 heures pendant 2 semaines
  • et enfin une fois par jour pendant 30 jours