Lorsque vous commandez un certificat SSL/TLS, l’Autorité de Certification ne vous le remettra pas simplement. Elle a besoin de la preuve que vous contrôlez réellement le domaine que vous sécurisez. C’est là que la Validation de Contrôle de Domaine (DCV) intervient. C’est le processus de vérification qui confirme la propriété du domaine avant l’émission d’un certificat.

Ce n’est pas juste une formalité administrative. DCV empêche les attaquants d’obtenir des certificats valides pour des domaines qu’ils ne possèdent pas, ce qui minerait complètement le modèle de confiance qui sécurise HTTPS. Le CA/Browser Forum, l’organisme industriel qui définit les exigences de base pour l’émission de certificats, mandate des méthodes DCV spécifiques que toutes les Autorités de Certification doivent respecter.
Dans ce guide, nous allons détailler ce qu’est DCV, explorer les différentes méthodes de validation disponibles, et vous aider à choisir l’approche appropriée pour votre infrastructure.
Table des matières
- Qu’est-ce que la Validation de Contrôle de Domaine (DCV) ?
- Méthodes de Validation de Domaine par Email
- Méthodes DCV basées sur DNS
- Méthodes de Validation basées sur des Fichiers HTTP/HTTPS
- Scénarios de Validation Spéciaux
- Choisir la Bonne Méthode DCV pour Vos Besoins
- Problèmes DCV Courants et Solutions Rapides
Economisez 10% sur les certificats SSL en commandant chez SSL Dragon aujourd’hui !
Délivrance rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon : SAVE10
Qu’est-ce que DCV (Validation de Contrôle de Domaine) ?
La Validation de Contrôle de Domaine (DCV) est le processus que les Autorités de Certification utilisent pour vérifier la propriété du domaine avant d’émettre un certificat SSL/TLS. Elle confirme le contrôle en exigeant que le demandeur réponde par email, télécharge un fichier sur le domaine, ou configure des enregistrements DNS pour prouver l’autorité sur le domaine.
Le processus fonctionne ainsi : l’Autorité de Certification génère un défi unique (généralement une chaîne alphanumérique aléatoire), et vous démontrez le contrôle en répondant via l’infrastructure de votre domaine. Cela pourrait être via des enregistrements DNS, votre serveur web, ou des adresses email administratives. Une fois validé, l’Autorité de Certification sait qu’elle émet le certificat au propriétaire légitime du domaine, pas à quelqu’un qui essaie d’usurper l’identité de votre site.
Normes Industrielles et Conformité
Les exigences de base du CA/Browser Forum définissent exactement comment DCV doit être effectué. Ce ne sont pas des suggestions, ce sont des règles strictes que les Autorités de Certification doivent respecter ou risquent de perdre leur statut de confiance dans les navigateurs.
Les normes actuelles incluent :
- La validation doit utiliser l’une des méthodes DCV approuvées (couvertes ci-dessous)
- Multi-Perspective Issuance Corroboration (MPIC) exige une validation de plusieurs perspectives réseau pour prévenir les attaques localisées
- La validation est réutilisable pendant 397 jours pour les certificats Validés par Organisation (OV) et Validés Étendus (EV)
- Les certificats Validés par Domaine (DV) ne peuvent pas réutiliser la validation, vous devez valider à chaque renouvellement
Voici quelque chose d’important : ces exigences se renforcent. L’industrie réduit les durées maximales des certificats et les périodes de validation.
Le CA/Browser Forum a défini un calendrier clair pour les durées de vie des certificats : elles sont désormais limitées à 200 jours à partir du 15 mars 2026, avec d’autres réductions à 100 jours à partir du 15 mars 2027, et 47 jours à partir du 15 mars 2029.
Ce renforcement affecte également les cycles de validation, rendant la revalidation fréquente et l’automatisation des certificats SSL de plus en plus nécessaires.

Méthodes de Validation de Domaine par Email
1. Vérification Email Construite
La validation par email est la méthode DCV la plus courante car elle est simple et ne nécessite aucune modification technique de votre infrastructure. L’Autorité de Certification envoie un email contenant un lien de validation ou un code à des adresses spécifiques sur votre domaine.
L’Autorité de Certification essaiera ces adresses email génériques :
Vous n’avez pas besoin de toutes ces adresses, juste une qui fonctionne dans la liste. L’Autorité de Certification vérifie les enregistrements MX de votre domaine pour confirmer que les emails peuvent être livrés, puis envoie la demande de validation.
Lorsque l’email arrive, vous cliquez sur un lien de vérification ou copiez un code dans la plateforme de commande de certificat. Le processus prend généralement quelques minutes si votre email est correctement configuré.
Cette méthode fonctionne bien si :
- Vous avez une infrastructure email établie pour votre domaine
- Vous commandez des certificats occasionnellement, pas à grande échelle
- Vous voulez le processus de validation le plus simple sans modifications DNS ou serveur web
L’inconvénient ? Vous ne pouvez pas l’automatiser facilement, et si votre email s’arrête ou que les adresses ne sont pas surveillées, votre validation échouera.
2. Email vers Contact DNS TXT
Cette variation combine email et DNS. Au lieu d’utiliser des adresses génériques, vous publiez une adresse email spécifique dans un enregistrement DNS TXT à _validation-contactemail.votredomaine.com. L’Autorité de Certification lit cet enregistrement et envoie la validation à cette adresse.
Pourquoi utiliser cette approche ?
- Réutilisabilité : Une fois configuré, c’est valide pour toute la période de validation
- Contrôle centralisé : Vous décidez exactement quel email reçoit les demandes de validation
- Convivial pour les équipes : Pointez-le vers une liste de distribution, pas une boîte de réception personnelle
Voici la configuration pratique :
_validation-contactemail.votredomaine.com. IN TXT "mailto:[email protected]"
Créez simplement cet enregistrement DNS TXT avec votre email de contact préféré, et l’Autorité de Certification l’utilisera automatiquement. Cela est particulièrement utile pour les organisations gérant plusieurs certificats. Vous pouvez standardiser la validation sur tous les domaines via une seule boîte de réception surveillée.
Méthodes DCV basées sur DNS
1. Validation par Enregistrement DNS TXT
La validation par enregistrement DNS TXT est populaire pour sa flexibilité et son potentiel d’automatisation. Lorsque vous commandez un certificat, l’Autorité de Certification fournit un nom d’hôte spécifique et un token de validation que vous ajoutez en tant qu’enregistrement TXT au DNS de votre domaine.
Le processus de base :
- L’Autorité de Certification fournit un nom d’hôte (généralement _dvsauth.votredomaine.com) et un token pendant la commande de certificat
- Vous créez l’enregistrement TXT avec ce token comme valeur
- L’Autorité de Certification interroge votre DNS pour confirmer l’existence de l’enregistrement
- Une fois vérifié, elle émet le certificat
L’enregistrement ressemble généralement à ceci :
_dvsauth.votredomaine.com. IN TXT "ab1c2d3e4f5g6h7i8j9k0l1m2n3o4p5q"
La validation DNS TXT est idéale pour :
- Automatisation – Les APIs DNS la rendent scriptable via les clients ACME ou les outils personnalisés
- Environnements sans serveurs web – vous avez juste besoin d’accès à DNS
- Certificats wildcard – nous couvrirons cette exigence dans la section Scénarios Spéciaux
Une chose à surveiller : le temps de propagation DNS. Si vos serveurs de noms ont des valeurs TTL élevées ou une propagation lente, la validation peut prendre plus longtemps. La plupart des Autorités de Certification réessayeront pendant 24 heures, mais c’est mieux de définir des valeurs TTL plus basses avant d’ajouter des enregistrements de validation.
2. Méthode Enregistrement CNAME DNS
La validation CNAME utilise un type d’enregistrement différent mais atteint le même objectif. Au lieu de stocker le token de validation directement, vous créez un CNAME qui pointe vers une cible de validation contrôlée par l’Autorité de Certification.
Exemple de configuration :
_dnsauth.votredomaine.com. IN CNAME random-token.dcv.digicert.com.
La différence clé : le CNAME pointe vers un enregistrement que l’Autorité de Certification contrôle, ce qui signifie qu’elle peut mettre à jour la cible de validation sans que vous changiez DNS. Certaines Autorités de Certification permettent également cela pour la prévalidation de domaine, vous configurez le CNAME une fois, et elles peuvent valider à chaque fois que vous commandez des certificats.
La validation CNAME fonctionne bien quand :
- Votre fournisseur DNS rend les CNAMEs plus faciles à gérer que les enregistrements TXT
- Vous voulez une capacité de prévalidation de domaine pour les certificats OV/EV
- Vous travaillez avec des Autorités de Certification qui supportent les flux de validation basés sur CNAME
Pas toutes les Autorités de Certification offrent la validation CNAME, donc vérifiez auprès de votre fournisseur. Mais quand disponible, c’est une bonne option pour les équipes qui préfèrent ce type d’enregistrement DNS.
Economisez 10% sur les certificats SSL en commandant chez SSL Dragon aujourd’hui !
Délivrance rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon : SAVE10
Méthodes de Validation basées sur des Fichiers HTTP/HTTPS
1. Démonstration Pratique HTTP
La validation basée sur fichiers vous oblige à placer un fichier spécifique sur votre serveur web à un chemin désigné. L’Autorité de Certification accède ensuite à ce fichier via HTTP ou HTTPS pour confirmer que vous contrôlez le serveur hébergeant le domaine.
Le chemin standard est : http://votredomaine.com/.well-known/pki-validation/fileauth.txt
L’Autorité de Certification fournit à la fois le nom de fichier exact et le contenu. Vous créez ce fichier sur votre serveur, assurez-vous qu’il est accessible, et l’Autorité de Certification valide en le récupérant.
Points d’implémentation critiques :
- Le fichier doit être accessible sur port 80 (HTTP) ou port 443 (HTTPS)
- Le répertoire .well-known est un emplacement standard défini dans RFC 8615
- C’est obligatoire pour la validation d’adresse IP. Si vous obtenez un certificat pour une adresse IPv4 ou IPv6, la validation HTTP est généralement votre seule option
La validation basée sur fichiers est simple si vous avez un accès direct au serveur web. C’est moins idéal si vous utilisez des services d’hébergement avec accès au système de fichiers restreint ou des CDN qui pourraient mettre en cache ou interférer avec les demandes de validation.
Conseils de dépannage :
- Assurez-vous que les redirections ne gênent pas. L’Autorité de Certification doit atteindre l’URL de validation exacte
- Vérifiez que les pare-feu permettent l’accès HTTP/HTTPS
- Désactivez la mise en cache pour le répertoire de validation
- Vérifiez que les permissions de fichier permettent l’accès public en lecture
2. Intégration des Défis ACME
Le protocole ACME (Automated Certificate Management Environment) utilise les défis HTTP-01 et DNS-01 pour DCV automatisé. Si vous utilisez Let’s Encrypt ou une autre Autorité de Certification compatible ACME, votre client ACME gère automatiquement tout le processus de validation.
Défi HTTP-01 : Place un fichier de validation à /.well-known/acme-challenge/ (similaire à la validation HTTP standard)
Défi DNS-01 : Crée un enregistrement TXT à _acme-challenge.votredomaine.com
Votre client (comme Certbot, acme.sh, ou les outils intégrés dans des plateformes comme cPanel) gère la validation et le renouvellement de certificat sans intervention manuelle. ACME est devenu le standard pour la gestion automatisée des certificats, en particulier pour les organisations gérant de grands inventaires de certificats.
Scénarios de Validation Spéciaux
1. Validation de Certificats Multi-Domaine et SAN
Si vous commandez un certificat multi-domaine (aussi appelé certificat SAN ou UCC), vous devez valider chaque domaine séparément. Une seule vérification DCV ne couvre pas tous les domaines du certificat.
Exemple : Un certificat pour example.com, www.example.com, et shop.example.com nécessite trois validations séparées, même s’ils sont des domaines connexes.
La bonne nouvelle ? Vous pouvez mélanger les méthodes de validation. Utilisez la validation par email pour un domaine et la validation DNS pour un autre si cela correspond à votre infrastructure. La plateforme de l’Autorité de Certification suivra l’état de validation pour chaque domaine et ne émettra le certificat qu’une fois tous les domaines vérifiés.
2. Validation de Domaine Wildcard
Les certificats wildcard (couvrant *.example.com) nécessitent des méthodes de validation basées sur DNS. La plupart des Autorités de Certification n’accepteront pas la validation par email ou HTTP pour les wildcards pour des raisons de sécurité.
Pourquoi la validation DNS pour les wildcards ?
Les certificats wildcard sécurisent des sous-domaines illimités. La validation basée sur fichiers pourrait seulement prouver le contrôle d’un sous-domaine à la fois, et la validation par email ne démontre pas le contrôle sur tous les sous-domaines possibles. La validation DNS prouve que vous contrôlez l’infrastructure DNS complète du domaine, ce qui est approprié pour un certificat qui protège tous les sous-domaines.
Si vous avez besoin d’un certificat wildcard, prévoyez d’utiliser la validation DNS TXT ou CNAME. Ce sont généralement vos seules options.
3. Considérations de Validation de Sous-domaine
Vous pouvez valider au niveau du sous-domaine ou au niveau du domaine parent, selon la méthode de validation. Pour la validation HTTP, le fichier doit être accessible au sous-domaine spécifique que vous validez. Pour la validation DNS, vous créez des enregistrements au niveau de sous-domaine approprié.
Une distinction importante : Valider le domaine parent (example.com) ne valide pas automatiquement les sous-domaines (blog.example.com) pour la plupart des méthodes de validation. Chaque sous-domaine a besoin de sa propre validation à moins que vous n’utilisiez un certificat wildcard.
Choisir la Bonne Méthode DCV pour Vos Besoins
Associez la méthode à votre infrastructure :
Comparer Toutes les Méthodes DCV d’un Coup d’Œil
| Méthode de Validation | Temps pour Compléter | Capacité d’Automatisation | Compétence Technique | Support Wildcard | Réutilisabilité (OV/EV) | Meilleur Pour |
|---|---|---|---|---|---|---|
| Email (Générique) | 5-30 minutes | ❌ Faible | ⭐ Minimal | ✅ Oui | ❌ Non | Certificats ponctuels, petits déploiements |
| Email (DNS TXT) | 15-60 minutes | ❌ Faible | ⭐⭐ Faible-Modéré | ✅ Oui | ✅ Oui (397 jours) | Équipes avec plusieurs certificats, email établi |
| Enregistrement DNS TXT | 10-60 minutes | ✅ Élevé | ⭐⭐⭐ Modéré | ✅ Oui | ✅ Oui (397 jours) | Automatisation, wildcards, grands déploiements |
| CNAME DNS | 15-60 minutes | ✅ Élevé | ⭐⭐⭐ Modéré | ✅ Oui | ✅ Oui (397 jours) | Prévalidation de domaine, tokens gérés par l’Autorité |
| Fichier HTTP | 5-20 minutes | ⚠️ Moyen | ⭐⭐ Faible-Modéré | ❌ Non | ❌ Non | Accès direct au serveur, adresses IP |
| ACME (HTTP-01) | 2-10 minutes | ✅ Très Élevé | ⭐⭐⭐⭐ Modéré-Élevé | ❌ Non | N/A (renouvellement auto) | Automatisation complète, Let’s Encrypt |
| ACME (DNS-01) | 2-10 minutes | ✅ Très Élevé | ⭐⭐⭐⭐ Modéré-Élevé | ✅ Oui | N/A (renouvellement auto) | Automatisation complète avec wildcards |
Sélection de Méthode par Scénario
Utilisez la validation par email si :
- Vous avez des commandes de certificats simples et ponctuelles
- Les adresses email génériques admin sont surveillées
- Vous n’avez pas besoin d’automatisation
Utilisez la validation DNS TXT/CNAME si :
- Vous avez besoin de certificats wildcard
- Vous gérez plusieurs certificats
- Vous n’avez pas accès au serveur web
- Vous voulez les capacités d’automatisation
Utilisez la validation par fichier HTTP si :
- Vous avez un accès direct au serveur web
- Vous validez des adresses IP
- Les modifications DNS sont difficiles dans votre organisation

Problèmes DCV Courants et Solutions Rapides
Les défaillances de validation surviennent. Voici les erreurs les plus fréquentes que vous rencontrerez et comment les résoudre rapidement.
Validation par Fichier HTTP : « 404 Non Trouvé »
Erreur : « Le système a interrogé un fichier temporaire à http://example.com/.well-known/pki-validation/[filename].txt, mais le serveur web a répondu par l’erreur suivante : 404 (Non Trouvé). »
Solutions rapides :
- Créez manuellement la structure de répertoire : /public_html/.well-known/pki-validation/
- Définissez les permissions : répertoires à 755, fichiers à 644
- Vérifiez les règles .htaccess qui pourraient bloquer le chemin /.well-known/
- Si le domaine vient d’être ajouté, attendez 24-48 heures pour la propagation
- Testez l’accessibilité : curl -v http://votredomaine.com/.well-known/pki-validation/test.txt
Cause commune : Le chemin du fichier de validation n’existe pas ou n’est pas accessible publiquement.
Validation HTTP : « Forbids DCV HTTP Redirections »
Erreur : « cPanel (propulsé par Sectigo) interdit les redirections HTTP DCV. »
Solutions rapides :
- Désactivez temporairement les redirections HTTPS pendant la validation
- Excluez le chemin /.well-known/* des règles de redirection
- Vérifiez les redirections dans .htaccess, les règles de page Cloudflare, ou la configuration du serveur
- Si vous utilisez un CDN, désactivez-le temporairement ou ajoutez une exception
Cause commune : Votre site redirige HTTP vers HTTPS ou redirige vers un autre domaine, bloquant la tentative de validation de l’Autorité de Certification.
Validation DNS : « No TXT Record That Matches »
Erreur : « La requête DNS à ‘_dvsauth.example.com’ pour le défi DCV a retourné aucun enregistrement ‘TXT’ correspondant à la valeur ‘[expected-value]’. »
Solutions rapides :
- Attendez 1-24 heures pour la propagation DNS (dépend du TTL)
- Vérifiez le nom d’hôte et la valeur exacts : dig _dvsauth.example.com TXT +short
- Cherchez les erreurs de copier/coller dans le token de validation
- Si vous utilisez un DNS délégué (enregistrements NS), ajoutez l’enregistrement TXT chez le bon fournisseur
- Abaissez le TTL à 300 secondes (5 minutes) avant d’ajouter des enregistrements de validation
Cause commune : DNS ne s’est pas propagé encore, ou l’enregistrement a des typos.
Validation DNS : Enregistrements CAA Bloquant l’Émission
Erreur : « Certificate authority a rencontré une erreur de vérification CAA multi-perspectives. »
Solutions rapides :
- Vérifiez les enregistrements CAA existants : dig example.com CAA
- Ajoutez votre Autorité de Certification aux émetteurs autorisés : example.com. CAA 0 issue « digicert.com »
- Vérifiez que les enregistrements CAA se résolvent globalement avec l’outil ping.pe
- Si aucun enregistrement CAA n’existe, vous n’avez pas besoin d’en ajouter (l’absence permet tous les Autorités)
Cause commune : Les enregistrements CAA restreignent quelles Autorités de Certification peuvent émettre des certificats pour votre domaine.
Validation par Email : Email Non Reçu
Solutions rapides :
- Vérifiez d’abord les dossiers spam/courrier indésirable
- Vérifiez que ces adresses existent et reçoivent des emails : admin@, administrator@, webmaster@, hostmaster@, postmaster@
- Vérifiez les enregistrements MX : dig example.com MX
- Mettez en liste blanche les domaines d’envoi d’email de l’Autorité de Certification dans votre filtre anti-spam
- Demandez un renvoi d’email à partir du panneau de contrôle de l’Autorité de Certification
Cause commune : L’email de validation capturé par les filtres anti-spam ou les adresses admin n’existent pas.
Spécifique à la Plateforme : Défaillances cPanel AutoSSL
Erreur : « Erreur DCV HTTP locale : Une erreur interne s’est produite. »
Solutions rapides :
- Vérifiez les journaux WHM > Manage AutoSSL pour plus de détails
- Attendez 30 minutes et réessayez (se résout souvent automatiquement)
- Basculez entre les fournisseurs Sectigo et Let’s Encrypt
- Videz la file d’attente AutoSSL : WHM > Manage AutoSSL > Clear pending queue
Commandes de Diagnostic Rapides
Avant de contacter le support, exécutez ces vérifications :
# Vérifiez la propagation DNS
dig votredomaine.com +short
dig _dvsauth.votredomaine.com TXT +short
# Testez l'accessibilité du fichier HTTP
curl -v http://votredomaine.com/.well-known/pki-validation/test.txt
# Vérifiez les enregistrements CAA et MX
dig votredomaine.com CAA
dig votredomaine.com MX
Simplifiez Votre Gestion de Certificats SSL avec SSL Dragon
Bien maîtriser la validation de contrôle de domaine est crucial pour un déploiement fluide des certificats. SSL Dragon propose des certificats d’Autorités de Certification de confiance avec toutes les méthodes de validation dont vous avez besoin, que vous préfériez la vérification par email, DNS ou basée sur HTTP.
Notre équipe vous aide à naviguer dans les exigences DCV pour les certificats Validés par Domaine, Validés par Organisation, et Validés Étendus. Nous vous guiderons à travers la méthode de validation qui correspond à votre infrastructure et répondrons à vos questions si des problèmes de validation surviennent.
Arrêtez de vous battre avec la validation de certificat. Parcourez nos options de certificat SSL !
Economisez 10% sur les certificats SSL en commandant aujourd’hui!
Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10






