Validation du domaine

Lors de la configuration, de la réémission ou du renouvellement de votre certificat SSL, si vous ne pouvez pas choisir la méthode de validation du domaine ou si vous rencontrez un message d’erreur, cela signifie qu’il y a une erreur de CSR. Voici les erreurs les plus courantes en matière de RSE et les moyens de les corriger :

• Si vous avez un certificat SSL Wildcard (pour plusieurs sous-domaines), le nom commun dans votre CSR doit commencer par un astérisque et un point (*.) comme dans cet exemple *.website.com. Pour les certificats SSL ordinaires, non Wildcard, le nom commun doit avoir l’un des formats suivants : website.com, www.website.com ou my.website.com.
• Chiffrement à mauvaise clé (par exemple, 4096 bits). Veuillez définir le cryptage de la clé à 2048 bits.
• Votre RSE est protégé par un mot de passe. Veuillez désactiver le mot de passe afin que l’autorité de certification émettant le certificat SSL puisse lire le code CSR.
• Il manque des champs ou des informations obligatoires dans le code CSR. Vous trouverez la liste complète des champs sur notre générateur de RSE.
• Votre RSE peut contenir d’autres informations incorrectes ou non autorisées. Veuillez consulter cet article de la FAQ pour plus de détails sur les informations autorisées et le formatage.

Pour corriger votre code CSR, vous devez en générer un nouveau. Ensuite, essayez de configurer ou de réémettre votre certificat SSL avec le nouveau code CSR. Si le problème persiste, veuillez ouvrir un ticket avec nous et nous envoyer votre code CSR. Nous décoderons le CSR et vous dirons quel est le problème, afin que vous puissiez le résoudre.

Copier le lien

Dans votre répertoire ~/public sur votre serveur, vous pouvez trouver le dossier .well-known. Les URI bien connus sont des identificateurs de ressources uniformes pour des services ou des informations bien connus, disponibles de manière cohérente sur tous les serveurs à des URL.

Certains serveurs créent automatiquement le dossier .well-known , mais il arrive que vous deviez l’ajouter manuellement. Ce répertoire sert de protocole web pour récupérer les métadonnées d’un site avant d’effectuer une requête.

À quoi sert le dossier .well-known ?

Lors de la commande d’un certificat SSL, vous devez prouver la propriété du domaine dans le cadre du DCV. Si vous choisissez la méthode HTTP/HTTPS, vous devrez créer le répertoire .well-known, le dossier dans lequel vous devez télécharger un fichier TEXTE pour que l’autorité de certification analyse et approuve votre demande SSL.

Le fichier doit être accessible par un lien direct sur le site web. Une fois que vous avez ajouté le fichier de validation, le système d’exploration de l’autorité de certification analyse votre site web et recherche le fichier. Une fois qu’il l’aura trouvé, vous devriez réussir la validation du domaine en quelques minutes.

Copier le lien

Pour créer le dossier well-known, vous devez avoir accès à votre serveur via un client SFTP, un panneau de contrôle d’hébergement web ou tout autre moyen approprié. Voici comment créer le dossier .well-known sur les plateformes les plus populaires :

Comment créer le dossier .well-known sur les serveurs basés sur Linux ?

Les instructions ci-dessous sont valables pour les serveurs Ubuntu, Debian et CentOS.

1. Allez dans le répertoire racine de votre site web
2. Créer un répertoire appelé “.well-known”
3. A l’intérieur de celui-ci, créez un autre dossier appelé “pki-validation”
4. Télécharger le fichier TXT dans le répertoire “pki-validation”.

Comment créer le dossier .well-known dans cPanel ?

1. Connectez-vous à WHM, ou sautez cette étape si vous n’avez pas WHM.
2. Localisez et connectez-vous au compte cPanel de votre nom de domaine
3. Cliquez sur “Gestionnaire de fichiers”
4. Choisissez l’option “Racine Web (public_html/www)” et cliquez sur “Go”.
5. Créer un nouveau dossier appelé .well-known
6. Dans ce dossier, créez un autre dossier appelé : pki-validation
7. Téléchargez votre fichier TXT dans le dossier pki-validation

Comment créer le dossier .well-known dans Plesk ?

1. Utilisez l’option Gestionnaire de fichiers et accédez à la section Fichiers dans le menu de droite.
2. Vous devez créer le dossier.well-known dans le dossier racine du document par défaut de votre domaine, qui dans Plesk est httpdocs.
3. Pour créer le dossier, sélectionnez Nouveau, puis Créer un répertoire.
4. Dans ledossier .well-known, créez le sous-dossier pki-validation .
5. Utilisez le bouton Upload pour ajouter le fichier TXT de validation dans le dossier pki-validation.

Comment créer le dossier .well-known dans les serveurs Windows IIS ?

Les serveurs Windows ne permettent pas de placer un point dans le nom d’un dossier, c’est pourquoi vous devez suivre les étapes suivantes :

1. Accéder au lecteur C :.
2. Créer un nouveau dossier appelé bien connu
3. Dans le dossier bien connu, créez un autre dossier nommé pki-validation.
   Jusqu’à présent, vos dossiers devraient ressembler à ceci : C:well-knownpki-validation
4. Télécharger le fichier TXT dans le dossier pki-validation
5. Ouvrez le gestionnaire IIS sur votre serveur
6. Cliquez avec le bouton droit de la souris sur votre site web et sélectionnez Ajouter un répertoire virtuel.
7. Dans la section Alias, écrivez .well-known
8. Dans la zone Chemin psychique, entrez le chemin d’accès au dossier bien connu. Par exemple :
   C:bien connu
9. Appuyez sur OK pour créer cet alias

Comment créer un dossier .well-known dans WordPress ?

Vous pouvez créer un dossier .well-known dans WordPress de trois manières différentes.

1. Utilisation d’un plugin spécial
2. Par l’intermédiaire de votre panneau d’hébergement
3. Via un client SFTP tel que FileZilla

Nous ne recommandons pas l’utilisation d’un plugin, car il peut entraîner des problèmes de compatibilité et de sécurité au fil du temps. Au lieu de cela, utilisez nos instructions ci-dessus pour créer le dossier .well-known dans cPanel, le panneau d’hébergement le plus populaire.

Si vous n’avez pas cPanel, utilisez un client SFTP. Connectez-vous à votre serveur et dans votre dossier ~/public, cherchez le répertoire .well-knwon. S’il ne s’y trouve pas, faites un clic droit sur le dossier public, choisissez Créer un répertoire et nommez le nouveau répertoire .well-known.

Comment créer un dossier .well-known dans AWS ?

1. Utilisez la commande bash pour créer le dossier .well-known.dans l’instance AWS EC2 :
   mkdir -p .well-known/pki-validation
2. Placez votre fichier de validation dans le sous-dossier pki-validation :
   nano .well-known/pki-validation/HashFileName.txt

Comment créer le fichier .well-known dans le serveur macOS X ?

Connectez-vous à votre serveur via le client FTP intégré ou l’interface de ligne de commande.

FTP

1. Appuyer sur Commande+K
2. Dans la fenêtre Connexion au serveur, entrez l’adresse du serveur FTP. Par exemple, ftp://ftp.yourdomain.com. Cliquez sur connecter.
3. Ensuite, entrez votre nom d’utilisateur et votre mot de passe FTP et cliquez à nouveau sur Connecter.
4. Trouvez le répertoire racine de votre domaine.
5. Créer un répertoire appelé .well-known
6. A l’intérieur du. bien connu, créez un autre dossier appelé pki-validation.
7. Télécharger le fichier TXT dans le répertoire pki-validation

Interface de ligne de commande

Vous pouvez utiliser SSH et le protocole Secure Copy pour télécharger le fichier TXT.

scp AC3E5D6I8G12935LSJEIK.txt

your_username@hostname:tld://Library/WebServer/Documents/.well-known/pki-validation

Où ‘AC3E5D6I8G12935LSJEIK.txt’ est le nom du fichier de validation, ‘your_username’est le nom d’utilisateur de votre compte serveur, ‘hostname.tld’ est le nom d’hôte de votre serveur Mac OSX, et ‘/Library/WebServer/Documents/’ est le répertoire par défaut du dossier racine du document.

Pour tous les types de serveurs, si vous avez tout fait correctement, vous devriez pouvoir ouvrir l’URL suivante et voir le code de hachage ainsi que “comodoca.com” dans n’importe quel navigateur web :

http://mywebsite.com/.well-known/pki-validation/HashFileName.txt

Copier le lien

Dans certains cas, les autorités de certification peuvent exiger une vérification manuelle si votre commande ne respecte pas les règles internes de validation de la marque. Il faut environ 24 à 48 heures pour passer cette vérification manuelle, et l’autorité de certification émet ou rejette la commande dans ce cas.

Voici les raisons les plus courantes pour lesquelles les autorités de certification décident de procéder à la validation de la marque pour certaines commandes :

1. Les commandes provenant de certains pays sont examinées manuellement plus souvent que d’autres, par exemple :  Corée du Sud, Corée du Nord, Japon;
2. Pays restreints –
   Russie (RU), Biélorussie (BY) (depuis 2022),
   Afghanistan (AF), Crimée (Russie), Côte d’Ivoire (CI), Cuba (CU), Érythrée (ER), Guinée (GN), Irak (IQ), Iran (IR), République populaire démocratique de Corée (KP), Liberia (LR), Myanmar (MM), Rwanda (RW), Soudan (SD), Sierra Leone (SL), Sud-Soudan (SS), République arabe syrienne (SY), Venezuela (VE), Zimbabwe (ZW) – Les SSL ne sont PAS délivrés pour ces pays : https://sectigo.com/knowledge-base/detail/Banned-Country-List-1527076085907/kA01N000000zFKI et https://knowledge.digicert.com/solution/Embargoed-Countries-and-Regions.html
3. Le nom de domaine comprend un nom de marque, tel que : facebook-app.com, sony-shop.net, dellshop.com, etc ;
4. Le nom de domaine peut contenir un nom de marque caché. Par exemple, votre domaine est “sibmama.com”, mais le système de validation automatisé peut le lire comme “sIBMama” et signaler la marque “IBM”. L’autorité de certification souhaite vérifier ces ordres manuellement ;
5. Le nom de domaine contient des “stop words“, tels que : pay, online, secure, booking, shop, bank, transfer, money, e-payment, payment, protection, violence, terrorists, et autres. Ces mots et bien d’autres sont définis comme des mots déclencheurs dans le système de validation et obligent l’autorité de certification à examiner ces commandes manuellement ;
6. Le nom de domaine est sur liste noire ou a une mauvaise réputation.
   

Que pouvez-vous faire pour accélérer le processus ?

Veuillez contacter Sectigo et Thawte, RapidSSL, GeoTrust, DigiCert directement par chat en direct et discuter de la situation avec le représentant de l’autorité de certification.

Veuillez mentionner votre “ID de commande partenaire” dans votre message.  Vous pouvez trouver votre “Partner Order ID” sur la page de détails de votre certificat SSL dans votre compte SSL Dragon. Voir la capture d’écran à droite.

Copier le lien

Malheureusement, les noms de domaine qui se terminent par .local ne sont plus pris en charge à partir du 1er novembre 2015. Si vous demandez un certificat SSL pour un domaine ou un sous-domaine dont l’extension est .local, votre certificat SSL sera rejeté par l’autorité de certification.

Si vous souhaitez sécuriser un domaine ou un sous-domaine sur votre hôte local, vous pouvez créer un certificat SSL auto-signé. Il existe de nombreux documents en ligne sur la manière de procéder.

Copier le lien

Oui, vous pouvez sécuriser une adresse IP avec un certificat SSL. Cependant, seuls certains certificats SSL spécifiques vous permettront de le faire. Voici ces certificats SSL :

– Sectigo InstantSSL Premium
– GoGetSSL Public IP SAN

Veuillez noter que le Sectigo InstantSSL Premium est un Business Validation SSL Certificate, ce qui signifie que vous devez avoir une société enregistrée afin d’obtenir ce certificat SSL .

GeGetSSL Public IP SAN est un certificat SSL de validation de domaine qui sécurise 2 adresses IP par défaut.

Copier le lien

Valable uniquement pour les certificats Sectigo et GoGetSSL :

Veuillez suivre les étapes suivantes afin de modifier le type de validation du domaine pour votre certificat SSL :

1. Connectez-vous à votre compte SSL Dragon;
2. Allez dans “Certificats SSL” -> “Mes certificats SSL“;
3. Vous verrez la liste des produits que vous avez achetés chez SSL Dragon. Cliquez sur le certificat SSL pour lequel vous souhaitez modifier le type de validation du domaine ;
4. Cliquez sur le bouton “Changer de méthode DV” qui se trouve vers le bas de la page ;
5. Choisissez la nouvelle méthode de validation de domaine pour votre/vos domaine(s) ; Vous pouvez en savoir plus sur la signification de chaque type de validation sur ce lien;(Important : la méthode de validation HTTP n’est plus disponible pour les certificats SSL Wildcard).
6. Cliquez sur “Soumettre” pour que la nouvelle méthode de validation prenne effet.

Copier le lien

Lorsque vous achetez un certificat SSL multi-domaines et que vous incluez plusieurs noms de domaines et/ou sous-domaines, les autorités de certification exigent que vous passiez la validation de domaine pour chaque domaine. nom et/ou sous-domaine que vous avez inclus dans votre certificat SSL multi-domaine, et seulement après cela, le certificat SSL multi-domaine vous sera délivré.

PROBLÈME POSSIBLE : Il arrive que les adresses électroniques, les options HTTP ou les enregistrements DNS que vous choisissez pour votre certificat multidomaine ne soient pas définis correctement lorsqu’ils parviennent à l’autorité de certification. Vous le saurez lorsque vous verrez que vous n’avez reçu qu’un seul message de validation de domaine à votre adresse électronique au lieu de plusieurs messages de validation de domaine, ou que le statut de votre certificat SSL multi-domaines indique toujours “En attente de validation (complète)” alors que vous avez réussi la validation de domaine pour l’un des domaines.

COMMENT CORRIGER : Il existe un moyen simple de corriger ce problème, qui consiste à prendre contact avec le service de validation de l’autorité de certification. Lorsque vous les contactez, veuillez leur fournir votre “Partner Order ID” (voir capture d’écran à droite), puis indiquez-leur la méthode de validation de domaine que vous avez choisie : HTTP, DNS ou Email. Si vous avez choisi de passer la validation des domaines par courrier électronique, vérifiez auprès des représentants du département de validation quelles sont les adresses électroniques définies dans leur système et demandez-leur de vous envoyer les messages de validation du domaine à pour les adresses électroniques souhaitées.

Sectigo/GoGetSSL

Veuillez contacter le service de validation de Sectigo au +1 (888) 266-6361 ou https://sectigo.com/support pour les raisons susmentionnées. Lorsque vous leur parlerez, vous devrez leur fournir votre “Partner Order ID”.

Thawte, GeoTrust, DigiCert

Veuillez appeler le service de validation de Thawte, GeoTrust, DigiCert au +1 (877) 438-8776 pour les raisons susmentionnées. Veuillez noter que Thawte, GeoTrust, DigiCert sont tous détenus par DigiCert, et qu’ils ont tous le même numéro de téléphone fourni ci-dessus.  Lorsque vous les contacterez, vous devrez fournir le “Partner Order ID”.

Copier le lien

Le temps de validation d’un SSL dépend du type de certificat que vous avez choisi d’acheter.

Les certificats validés par le domaine sont émis dans un délai de 3 à 5 minutes dans 99 % des cas. Ce n’est que lorsqu’un certificat SSL est demandé pour un nom de domaine qui contient une marque commerciale ou un nom de marque que ces certificats SSL peuvent passer la validation de la marque et que leur délivrance peut prendre jusqu’à un jour ouvrable.

Les certificats validés par les entreprises sont généralement délivrés dans un délai de 1 à 3 jours ouvrables.

La délivrance des certificats à validation étendue peut prendre entre 1 et 7 jours ouvrables. L’autorité de certification effectue sa part du travail très rapidement. Si toutes les informations sont fournies rapidement et correctement à l’autorité de certification, celle-ci peut délivrer le certificat EV dans un délai d’un jour ouvrable. Nous avons vu des situations où le certificat EV a été délivré en l’espace de quelques heures. Le délai de 1 à 7 jours dépend de la rapidité avec laquelle le client fournit les informations requises à l’autorité de certification et de la rapidité avec laquelle le client répond aux éventuelles demandes d’informations supplémentaires de l’autorité de certification.

En procédant à la validation, l’autorité de certification tente de confirmer que vous êtes le propriétaire du domaine et que l’entreprise pour laquelle vous demandez un certificat Business Validation ou Extended Validation est active. C’est pourquoi il est important que vous teniez à jour les données de votre entreprise (adresse et numéro de téléphone) et que vous répondiez rapidement aux demandes de l’autorité de certification.

Copier le lien

Si votre routeur a une adresse IP publique, vous pouvez toujours valider cette adresse IP.

La validation HTTP/HTTPS est la seule méthode disponible pour la validation de l’adresse IP. La méthode de validation HTTP/HTTPS consiste à ajouter un fichier TXT sur votre adresse IP et à demander à Sectigo de scanner cette adresse IP et de la valider. Il n’y a aucun moyen de télécharger un fichier TXT sur votre routeur. La solution pour faire valider l’adresse IP consiste à réacheminer l’adresse IP vers un serveur, à placer le fichier TXT sur ce serveur, à passer la validation IP, puis à réacheminer les adresses IP vers le routeur.

Pour plus d’informations sur le contenu du fichier TXT et l’endroit où le télécharger, consultez la rubrique suivante de la FAQ : https://www.ssldragon.com/faq/pass-validation-public-ip-address-ssl-certificate/

Copier le lien