Toutes les autorités de certification commerciales exigent la validation du contrôle du domaine (DCV) avant d’émettre un certificat SSL. Jusqu’à présent, vous pouviez choisir l’une des trois méthodes suivantes pour confirmer la propriété d’un domaine. Mais à partir du 15 novembre, vous ne pourrez plus utiliser la méthode de hachage HTTP/HTTPS pour valider les domaines Wildcard. Deux possibilités s’offrent à vous :
- Validation par courrier électronique
- Validation basée sur le DNS (validation CNAME)
Avant de découvrir pourquoi les autorités de certification ont décidé de supprimer la validation basée sur les fichiers pour les certificats Wildcard, passons rapidement en revue chaque méthode.
Par courrier électronique
C’est la méthode la plus simple et la plus populaire pour valider votre nom de domaine. Il vous suffit de répondre à un courriel envoyé par l’autorité de certification à l’adresse figurant dans l’enregistrement WHOIS. Voici une liste d’e-mails pré-approuvés pour prouver la propriété d’un domaine
Basé sur le CNAME
Avec cette méthode, vous devez créer un enregistrement CNAME unique dans votre DNS (système de noms de domaine). Par exemple, si vous commandez un certificat SSL à Sectigo, ils vous demanderont de faire pointer votre enregistrement CNAME vers le site web de Sectigo.
Basé sur des fichiers
Les autorités de certification et les navigateurs cherchent toujours à améliorer le processus de délivrance du SSL et à le rendre inattaquable. Après avoir réduit la validité du SSL à un an lors d’une précédente modification, leur dernier bulletin de vote interdit la validation basée sur les fichiers pour les domaines et sous-domaines Wildcard.
Bulletin de vote SC45 qui a été adopté à l’unanimité par le forum CA/Browser a été adopté à l’unanimité par le CA/Browser Forum, affecte la méthode DCV basée sur les fichiers de la manière suivante :
- À partir de novembre, vous ne pourrez plus effectuer d’authentification basée sur les fichiers pour les certificats de type “wildcard”. Au lieu de cela, vous devrez utiliser l’authentification par courrier électronique ou par DNS.
- Dans le cas des certificats sans carte sauvage, la validation du domaine sera requise pour chaque FQDN/SAN individuellement.
- Ces changements de politique concernent tous les certificats TLS/SSL publics.
Le vote SC45 du CA/B Forum entrera en vigueur le 1er décembre 2021, mais DigiCert et Sectigo, les principales autorités de certification, ont annoncé qu’elles mettaient en œuvre les changements à partir du 15 novembre.
Cela signifie que tous les certificats Wildcard émis avant le 14 novembre prendront toujours en charge la méthode de validation basée sur les fichiers. Toutefois, il ne sera plus disponible à partir du 15 novembre.
Pourquoi la méthode DCV basée sur les fichiers présente-t-elle des risques pour la sécurité ?
Selon le CA/B Forum, la méthode de validation des domaines basée sur les fichiers n’est pas suffisante pour prouver le contrôle de l’ensemble de l’espace de noms du FQDN (nom de domaine pleinement qualifié), y compris tous les domaines et sous-domaines qui existent dans cet espace de noms.
Par exemple, vous pouvez avoir le contrôle sur votredomaine.com, mais *.votredomaine.com peut être hébergé sur un autre serveur auquel vous n’avez pas accès. En théorie, un hameçonneur ou un pirate informatique pourrait valider un tel domaine et l’utiliser pour des cyber-attaques.
Conclusion
Si vous avez utilisé la méthode DCV basée sur les fichiers pour obtenir des certificats Wildcard, vous devrez passer à l’une des deux autres options, soit la validation basée sur le courrier électronique, soit la validation basée sur le CNAME. La validation HTTP ne s’appliquera plus aux domaines Wildcard et aux sous-domaines SAN tels que *.yourdomain.com, ou yourdomain.com et blog.yourdomain.com pour les SAN. Dans le cas des SAN, vous devrez effectuer la validation basée sur les fichiers pour chaque domaine SAN séparément.
Economisez 10% sur les certificats SSL en commandant aujourd’hui!
Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10
