Validation par enregistrement DNS
Avant qu'on puisse émettre un certificat SSL/TLS, vous devez prouver que vous contrôlez les domaines (et tous les noms SAN (Subject alternative Names)) de la commande de certificat. Nous appelons ce processus « Validation du contrôle de domaine » (Domain Control Validation, DCV). La méthode par enregistrement DNS est recommandée pour les commandes qui ne peuvent pas être vérifiées par e-mail.
Méthode DCV par courrier électronique
Pour prouver le contrôle du domaine, le destinataire doit suivre le lien fourni dans le courrier. L'autorité de certification envoie un courrier électronique d’autorisation à cinq adresses électroniques construites pour le domaine : admin, administrateur, webmaster, hostmaster et postmaster @[domain_name]. Le demandeur du certificat doit avoir l'accès au moins à une de ces adresses e-mail afin de confirmer la commande du certificat.
Prouvez le contrôle de votre domaine
Pour prouver à l'autorité de certification que vous contrôlez le domaine, créez un enregistrement DNS TXT contenant une valeur générée par Digicert.
La méthode de validation peut être changée à tout moment.
La valeur à ajouter aux enregistrements DNS est générée de manière aléatoire et indiquée dans votre Espace client.
Comment créer un enregistrement DNS
Si vous avez choisi cette méthode de validation, créez un nouvel enregistrement DNS de type TXT du domaine vérifié. Connectez-vous à votre hébergeur de domaine et accédez à la configuration du domaine, section Créer ou modifier les enregistrements DNS. La valeur à ajouter aux enregistrements DNS est envoyée par email, elle est unique pour chaque commande.
Exemple de l'enregistrement DNS :
_dnsauth.sslmarket.com. 3600 IN TXT pyzm2vngxyfgwbh5d04n7j9nl4zrp51v
L'autorité de certification vérifie l'ajout la valeur générée aléatoirement dans la zone DNS du domaine à intervalles réguliers. Si l'enregistrement TXT est correct, la commande sera automatiquement confirmée et le certificat délivré.
Contrôle de l'enregistrement DNS
Pour vérifier, si le nouveau enregistrement DNS est correctement ajouté et accessible à l'AC, vous pouvez utiliser le programme DIG permettant d'interroger des serveurs DNS. Sous linux, il est disponible dans le package dnsutils. Pour Windows, vous pouvez utiliser la commande DIG en ligne.
Dans la colonne gauche "Noms d'hôte ou adresses IP", entrez le sous-domaine que vous avez créé ; c'est-à-dire _dnsauth.domaineverifie.com. En cliquant sur le bouton DIG, vous recevez une réponse sur la question DNS qui doit contenir la valeur indiquée dans la commande.
Un exemple de réponse correcte obtenu par DIG :
dig TXT +additional _dnsauth.sslmarket.fr. @8.8.4.4
; <<>> DiG 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.6 <<>>TXT +additional _dnsauth.sslmarket.fr. @8.8.4.4
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 13209
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;_dnsauth.sslmarket.fr. IN TXT
;; ANSWER SECTION:
_dnsauth.sslmarket.fr. 3056 IN TXT "pyzm2vngxyfgwbh5d04n7j9nl4zrp51v"
;; AUTHORITY SECTION:
testweb.com. 1256 IN SOA ns1.regzone.fr. administrator.xweb.fr. 2013071303 10800 1800 1814400 3600
;; Query time: 13 msec
;; SERVER: 8.8.4.4#53(8.8.4.4)
;; WHEN: Wed Aug 14 12:08:01 2013
;; MSG SIZE rcvd: 165
Validation par DNS est rapide et simple
La validation par enregistrement DNS n'entraîne aucun retard dans l'émission du certificat. L'autorité effectue le contrôle dans les intervalles très courts et émet le certificat dans quelques minutes.
SSLmarket vous simplifie la gestion des certificats. La validation par enregistrement DNS est une méthode rapide et simple, alors n'hésitez pas à l'essayer !
Nous sommes désolés que vous n'ayez pas trouvé les informations que vous recherchiez.
Aidez-nous à améliorer cet article. Vous cherchez autre chose ? N'hésitez pas à nous écrire.