Validation de Domaine

  • Les domaines ne jouent aucun rôle dans le Code Signing, le Document Signing et les Certificats Clients. Donc, la validation de domaine ne concerne que les certificats OV, Grid et EV.
  • Pour la plupart des domaines, validez seulement OV et Grid.
  • Les principaux domaines que vous utilisez pour vous présenter au public sont de bons candidats pour EV.
  • Ne validez pas EV pour les domaines secondaires qui ne représentent pas l'organisation.
  • N'octroyez pas les privilèges EV aux personnes qui n'ont pas lu et compris les textes juridiques, en particulier les Conditions d'utilisation de la CP/CPS. Vous risqueriez des batailles juridiques avec la justice américaine.

Domain Control Validation

Qu’est ce que le Domain Control Validation (DCV) via email ?

Depuis 2011 les autorités de certification font une vérification de propriété de domaine. Cette vérification consiste en l’envoi d’un courrier électronique à une adresse spécifique sur le même domaine que celui du certificat demandé. En recevant cet email et en accédant à l’URL qui y est contenue l’institution garantit être propriétaire du domaine. Digicert fait cette vérification une première fois au moment de l'ajout du domaine dans le portail. D'autres vérifications périodiques peuvent être effectuées.

Quelles sont les addresses email utilisées ?

Les adresses emails utilisées sont une construction standardisée de 5 préfixes au domaine concerné par le certificat et aux domaines parents éventuellement. Les préfixes sont :

  • admin
  • administrator
  • hostmaster
  • postmaster
  • webmaster

Les serveurs de vérification font une requête whois sur le serveur hébergeant le domaine pour y extraire les adresses email acceptable pour le DCV plus les adresses email standards ci-dessus.

Exemples d’adresses pour un certificat www.labo.univ-test.fr :

  • admin@www.labo.univ-test.fr
  • administrator@www.labo.univ-test.fr
  • postmaster@www.labo.univ-test.fr
  • hostmaster@www.labo.univ-test.fr
  • webmaster@www.labo.univ-test.fr
  • admin@labo.univ-test.fr
  • administrator@labo.univ-test.fr
  • hostmaster@labo.univ-test.fr
  • postmaster@labo.univ-test.fr
  • webmaster@labo.univ-test.fr
  • admin@univ-test.fr
  • administrator@univ-test.fr
  • hostmaster@univ-test.fr
  • postmaster@univ-test.fr
  • webmaster@univ-test.fr

A quoi ressemble un email de challenge DCV ?

Il vous faut commencer par vérifier que lors de l'émission que l'email n'a pas été qualifié d'indésirable par vos systèmes de grey listing ou anti-spam.
L'adresse d'emission est admin@digicert.com.

Un exemple au format texte

<Nom de l'établissement>
-------------------------
As part of the DigiCert domain validation process, we need you to
approve the domain <nom du domaine> so that you can obtain SSL
Certificates for it. This requires you to verify domain control and
authorization.

Please approve or reject this domain by visiting the following link:
https://www.digicert.com/link/approve.php?t=xxxxxxxxxxxxxxx
[https://www.digicert.com/link/approve.php?t=xxxxxxxxxxxxxxx]

If you do not approve this request for domain validation, or if you
have any questions or concerns, please contact us directly.
-------------------------
Thanks!
The DigiCert Team

Phone: 1-801-701-9600
Email: support@digicert.com [mailto:support@digicert.com]
Live Chat: www.digicert.com [https://www.digicert.com/]

Le même exemple au format html