Comment une AC vérifie-t-elle la propriété du domaine ?
Les autorités de certification (AC) doivent vérifier que le demandeur d'un certificat possède bien le contrôle du domaine pour lequel le certificat est demandé. Cela empêche l'émission frauduleuse de certificats.
Méthodes de validation
SSLcat automatise ce processus en utilisant les méthodes définies par le protocole ACME (Automated Certificate Management Environment).
Validation HTTP-01
C'est la méthode la plus courante pour les certificats de domaine unique. Le processus est le suivant :
- SSLcat informe l'AC (par exemple, Let's Encrypt) qu'il souhaite valider un domaine.
- L'AC fournit un jeton unique.
- SSLcat crée un fichier contenant ce jeton à un emplacement spécifique sur le serveur web :
/.well-known/acme-challenge/<token>. - L'AC effectue une requête HTTP vers cette URL pour vérifier la présence et le contenu du fichier.
- Si le jeton correspond, la validation réussit et le certificat est émis.
Cette méthode nécessite que votre domaine soit accessible publiquement sur le port 80.
Validation DNS-01
Cette méthode est requise pour les certificats génériques (wildcard) et peut être utilisée pour d'autres types de certificats. Le processus est le suivant :
- SSLcat informe l'AC qu'il souhaite valider un domaine en utilisant la méthode DNS.
- L'AC fournit un jeton unique.
- SSLcat crée un enregistrement DNS de type TXT avec une valeur spécifique (un hachage du jeton) pour le domaine
_acme-challenge.votredomaine.com. - L'AC interroge les serveurs DNS pour cet enregistrement TXT.
- Si l'enregistrement existe et que sa valeur est correcte, la validation réussit.
Cette méthode ne nécessite pas que votre serveur web soit accessible publiquement, mais elle exige un accès programmatique à vos paramètres DNS via une API, que SSLcat gère pour de nombreux fournisseurs DNS populaires.