Valider un domaine par enregistrement DNS
5 mars 2021 | Jindřich Zechmeister
Dans cet article, nous allons voir comment vérifier un domaine par un enregistrement DNS. Vous devez prouver que vous contrôlez les domaines et tous les noms SAN (Subject alternative Names) de la commande de certificat. La validation est complétement automatisée, il est donc nécessaire de suivre la procédure.
Publié à l'origine le 31 janvier 2019, mis à jour le 5 mars 2021Qu'est-ce qu'un enregistrement DNS
Les enregistrements DNS constituent l'un des éléments essentiels pour qu'un domaine fonctionne correctement. Ils pointent des noms de domaines et sous-domaines sur des serveurs. Sans les DNS, nous pourrions difficilement déterminer l’adresse IP associée au domaine. Au lieu de domaine.fr, nous devrions taper un numéro xx.xx.xx.53 dans le navigateur, ce qui serait assez peu pratique.
Ce système DNS est à votre disposition chez votre registraire de domaine, où vous pouvez facilement créer et modifier des enregistrements. Les enregistrements DNS sont de plusieurs types utilisés à des fins différentes. Nous allons nous concentrer sur le type TXT, qui permet de compléter diverses informations sous forme de texte.
Créer un nouveau enregistrement DNS
Connectez-vous à la page Gestionnaire DNS de votre fournisseur. Sachez que pour enregistrer un domaine principal, les hébergeurs de domaine utilisent deux principes. Soit, vous spécifiez le domaine entier et l’enregistrement entier (per exemple chose.domaine.fr), soit vous ne spécifiez pas le domaine principal et vous utilisez le caractère "@" ou le sous-domaine ("chose" ou @).
Rappelons-nous que nous ne mettons pas la valeur d'enregistrement (random string) entre des guillemets.
Placez la valeur d'enregistrement TXT sur votre domaine principal. Si vous avez plusieurs enregistrements DNS pour votre domaine, vous pouvez créer un nouveau enregistrement DNS pour le sous-domaine : _dnsauth. Cela évite les collisions avec d'autres enregistrements DNS et la validation est garantie. L'enregistrement DNS TXT ressemble à ceci :
Une fois les modifications apportées, vous devez attendre jusqu'à ce qu'elle soient entièrement propagées. L'autorité de certification interroge le serveur DNS affecté au domaine et obtient un nouvel enregistrement rapidement. Notez que la propagation des modifications apportées est beaucoup plus rapide que pour les modifications DNS classiques.
Comment configurer votre adresse e-mail aux DNS
Cette possibilité est une combinaison de modification dans la zone DNS et de validation par e-mail. Comme vous le savez, la méthode de courrier électronique était essentiellement limitée à l'utilisation des adresses génériques telles que admin-, administrator-, hostmaster-, postmaster- et webmaster en cours de validation. Si votre domaine ne dispose d'aucun compte de messagerie, vous pouvez autoriser l'utilisation d'une adresse e-mail de validation différente.
L'enregistrement dans la zone DNS ressemble à ceci :
_validation-contactemail.domaine.fr IN TXT charlie@yahoo.fr
Si vous cherchez la différence entre un enregistrement DNS et un ajout d'une adresse e-mail aux DNS du domaine, la réponse est simple. L'adresse e-mail pour le domaine est définie pour toujours et des e-mails de vérification y seront envoyés automatiquement, alors qu'un enregistrement DNS TXT de validation est nécessaire de définir à chaque fois.
Validation DNS
Pour vérifier votre nouvel enregistrement DNS, vous pouvez utiliser un outil simple : Dig (DNS lookup) de Google, ou un outil qui offre des options avancées : Dig web interface. Ces outils en ligne affichent le résultat immédiatement.
Si vous utilisez Linux, Unix ou MacOS, vous avez le client Dig qui vous permet d'interroger des serveurs DNS. Voici comment demander les enregistrements de type A pour le nom sslmarket.fr. Ensuite, spécifiez le type d'enregistrement que vous souhaitez obtenir : A, CNAME, TXT, MX etc.
La réponse est immédiate :
;; ANSWER SECTION: sslmarket.fr. 158 IN A 77.75.79.53
;; Query time: 2 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Thu Jan 31 09:11:02 CET 2019
;; MSG SIZE rcvd: 54
Si vous vérifiez un nouveau enregistrement TXT, le texte de vérification (la valeur aléatoire) est affiché dans la partie droite de l'enregistrement. Les guillemets ne sont affichés que dans la réponse, ils ne font pas partie de l'enregistrement.
;; ANSWER SECTION:
domaine.eu. 3600 IN TXT "drvkpmgxlgn0y3s7mg7qnjd1ymhjyvqd"
Si vous avez des questions, n'hésitez pas à contacter notre support
Exceptionnellement, un nouveau enregistrement DNS peut créer un conflit avec un enregistrement existant et ensuite, empêcher la validation. Attendez 1-2 heures pour que vos enregistrements DNS se propagent complètement et le certificat soit délivré. Si vous avez besoin d'aide contactez notre support.
