Validation d'un certificat DV par protocole DNS

L'autorité de certification de la famille Symantec permet de vérifier la commande d'un certificat DV de plusieurs façons, y compris par vérification via enregistrement DNS. La fonction est adaptée pour toutes les commandes qu'il n'est pas possible de valider via l'e-mail de validation de l'autorité.

Validation standard du certificat DV

La méthode standard de validation d'un certificat DV est l'envoi d'un e-mail avec un lien unique vers le domaine validé. Sur le domaine donné, cinq boîtes et l'e-mail du propriétaire du domaine ou du contact administratif sont disponibles. Sur le domaine validé, le demandeur de certificat doit disposer de l'une des boîtes suivantes : admin, administrator, hostmaster, postmaster ouwebmaster. La seule solution alternative était jusqu'à aujourd'hui de renvoyer l'e-mail de l'autorité à l'e-mail du contact administratif du domaine ou à son propriétaire (contacts de WHOIS).

Autres modes de validation de domaine

Les autorités de certification de notre portefeuille peuvent valider une commande de certificat DV non seulement par e-mail, mais aussi par un enregistrement DNS.

Vous choisissez la possibilité de validation du certificat par enregistrement DNS dans la cinquième étape de la commande du certificat (Validation du certificat et clé publique (CSR)).

Autres 
mode de validation d'un certificat DV

Après avoir demandé un certificat auprès d'une autorité, vous verrez dans les détails de la commande les données que vous utiliserez pour valider le certificat via DNS.

Création d'un enregistrement DNS TXT

Pour assurer la validation DNS d'un domaine, il est nécessaire de créer un enregistrement DNS de type TXT dans la zone de fichier du domaine en cours de validation. Vous trouverez cette possibilité dans la gestion de domaine de votre bureau d'enregistrement où vous pouvez gérer les enregistrements DNS. Les données nécessaires à la création d'un enregistrement TXT seront indiquées dans le détail de la commande du certificat, elles sont uniques pour chaque certificat. Insérez l'enregistrement préparé que nous vous affichons dans l'enregistrement DNS. Exemple d'enregistrement DNS pour vérification DNS du domaine : sslmarket.fr. 3600 IN TXT 20170313115848xw7ce3rd0qs5i41avvbc2v9e6u4xjgtsh0vem6czhacn4m6cmp

L'autorité contrôlera ensuite régulièrement l'enregistrement TXT dans le domaine DNS. Si l'enregistrement TXT est OK, la commande de certificat sera automatiquement confirmée et le certificat sera donc émis. Il ne sera plus nécessaire d'attendre l'e-mail de confirmation.

Contrôle de l'enregistrement DNS

L'accessibilité et l'exactitude de l'enregistrement DNS nouvellement créé peuvent être contrôlées par différents outils qui peuvent afficher la réponse à la question DNS. Les systèmes d'exploitation UNIX comprennent un programme DIG qui peut envoyer une question à l'enregistrement DNS et afficher la réponse. Ce programme n'est pas inclus dans le système Windows et nous conseillons donc l'utilisation de la version web DIG. Exemple de réponse correcte obtenue par le programme Dig:
dig TXT +additional sslmarket.fr. @8.8.4.4
; <<>> DiG 9.10.3-P4-Ubuntu <<>> TXT +additional sslmarket.fr. @8.8.4.4
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39603
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;sslmarket.fr. IN TXT

;; ANSWER SECTION:
sslmarket.fr. 3599 IN TXT
"20170313115848xw7ce3rd0qs5i41avvbc2v9e6u4xjgtsh0vem6czhacn4m6cmp"

;; Query time: 151 msec
;; SERVER: 8.8.4.4#53(8.8.4.4)
;; WHEN: Wed Mar 15 08:07:28 CET 2017
;; MSG SIZE rcvd: 117

La validation via DNS est rapide et simple.

La validation du certificat via DNS n'entraîne aucun retard dans l'émission du certificat. L'autorité effectue le contrôle à intervalles très proches et vous n'avez donc aucune raison de craindre que l'émission du certificat soit retardée. Lors de la vérification DNS, il n'est pas nécessaire d'attendre l'extension des enregistrements DNS qui dure généralement jusqu'à 48 heures.

SSLmarket a simplifié au maximum la méthode de validation mentionné ci-dessus, pour vous ne retardez pas en créant le fichier d'enregistrement ou de validation DNS.

Vous rencontrez des problèmes avec les modes de validation alternatif d'un domaine ?

En cas de besoin, n'hésitez pas à contacter notre service clientèle qui vous aidera à effectuer le type de validation de domaine indiqué ci-dessus.