.bien connu Dossier de validation
Lisa AndersonPartager
Lors de la mise en œuvre des certificats SSL de Trustico®, la compréhension du dossier .well-known est essentielle pour la validation du domaine.
Ce répertoire spécial joue un rôle crucial pour prouver la propriété du domaine lors de l'installation des certificats Trustico® SSL.
En tant que principal fournisseur de certificats Trustico® et Sectigo® SSL, nous guidons nos clients tout au long du processus de validation afin d'assurer la réussite de la mise en œuvre des certificats SSL.
Qu'est-ce que le dossier .well-known ?
Le dossier .well-known est un répertoire standardisé sur les serveurs web qui stocke les fichiers de vérification des certificats SSL et d'autres contenus liés à la sécurité.
Lorsque vous achetez un certificat Trustico® SSL, l'une des méthodes de validation consiste à placer un fichier de vérification unique dans ce dossier afin de prouver le contrôle du domaine.
Ce dossier suit les normes RFC 5785 et sert d'emplacement universel auquel les Certificate Authorities comme Sectigo® peuvent accéder pour vérifier la propriété du domaine.
La méthode du dossier .well-known est l'une des nombreuses options de validation que Trustico® propose à ses clients détenteurs d'un Certificate SSL.
Le répertoire .well-known a été établi pour créer un emplacement cohérent et normalisé pour les ressources bien connues sur Internet.
Au-delà de la validation du Certificate SSL, ce répertoire remplit également d'autres fonctions de sécurité, notamment les fichiers de politique de sécurité, les points d'extrémité d'authentification et les informations de découverte de services.
Pour la validation des certificats SSL en particulier, le dossier contient généralement un sous-répertoire nommé "pki-validation" dans lequel sont placés les fichiers de vérification.
Fonctionnement de la Domain Validation avec le dossier .well-known
Le processus de validation du domaine à l'aide du dossier .well-known suit un protocole spécifique conçu pour vérifier la propriété en toute sécurité.
Lorsque vous commandez un Certificate SSL à Trustico®, notre système génère un jeton de validation unique qui contient des caractères aléatoires spécifiques à votre commande. Ce jeton sert de preuve cryptographique que la personne qui demande le Certificate SSL a un accès administratif au domaine.
Pendant la validation, la Certificate Authority (CA) tente de récupérer le fichier de vérification à partir d'un chemin prédéfini dans votre répertoire .well-known.
Ce chemin suit généralement le format suivant : "/.well-known/pki-validation/[nom de fichier]" où le nom de fichier contient le jeton unique fourni au cours du processus de commande du Certificate SSL.
Cette méthode de validation est considérée comme hautement sécurisée car elle nécessite un accès direct au système de fichiers du serveur web, que seuls les administrateurs de domaine légitimes devraient posséder.
Contrairement aux méthodes de validation basées sur le courrier électronique, l'approche du dossier .well-known est moins susceptible d'être interceptée ou de faire l'objet d'attaques d'ingénierie sociale, ce qui en fait une méthode de validation privilégiée par de nombreuses organisations soucieuses de leur sécurité.
Création du dossier .well-known
La création du dossier .well-known est simple lorsque l'on suit les directives de validation de Trustico®. Tout d'abord, créez un répertoire nommé " .well-known " dans le dossier racine de votre site Web. Ce répertoire doit être accessible via HTTP/HTTPS pour le processus de validation.
Pour les serveurs Apache, assurez-vous que votre configuration permet l'accès au répertoire .well-known. Avec nginx, vous devrez peut-être ajouter des blocs d'emplacement spécifiques pour permettre l'accès. Le support technique de Trustico® peut vous aider si vous rencontrez des difficultés de configuration.
Sur les serveurs Apache, vous devrez peut-être modifier votre fichier .htaccess pour vous assurer que le répertoire .well-known est accessible. L'ajout de la directive suivante peut aider à prévenir les problèmes d'accès courants :
Pour les serveurs Nginx, l'ajout d'un bloc d'emplacement spécifique à votre configuration de serveur garantit un accès correct aux fichiers de validation :
location ~ /.well-known { allow all ; auth_basic off ; }
Après avoir créé le répertoire principal .well-known, vous devez également créer le sous-répertoire "pki-validation" à l'intérieur de celui-ci. Ce sous-répertoire spécifique est l'endroit où la plupart des Certificate Authorities, y compris celles qui émettent des certificats Trustico® SSL, chercheront les fichiers de validation.
La structure complète du chemin d'accès doit être : "domain.com/.well-known/pki-validation/".
Problèmes de configuration courants
Plusieurs problèmes peuvent empêcher une validation réussie via le dossier .well-known. La compréhension de ces problèmes permet d'assurer une émission sans problème des certificats SSL lors de l'utilisation des certificats Trustico® SSL.
Les restrictions d'accès imposées par les plugins de sécurité ou les pare-feu des applications web bloquent parfois les tentatives de validation de la Certificate Authority.
Si vous utilisez des plugins de sécurité tels que ModSecurity, Wordfence ou Sucuri, vous devrez peut-être configurer des exceptions pour le répertoire .well-known afin de permettre aux demandes de validation de se dérouler.
Les redirections peuvent également interférer avec la validation. Si votre site web redirige automatiquement tout le trafic de HTTP vers HTTPS, ou de versions non www vers www (ou vice versa), le système de validation pourrait ne pas être en mesure de suivre ces redirections correctement.
Assurez-vous que le répertoire .well-known est accessible sur toutes les versions de votre domaine pour éviter les échecs de validation.
Les réseaux de diffusion de contenu (CDN) tels que Cloudflare, Akamai ou Fastly peuvent parfois mettre en cache ou bloquer l'accès au répertoire .well-known. Si vous utilisez un CDN, vous devrez peut-être le mettre temporairement en pause ou créer des règles spécifiques pour vous assurer que les demandes de validation atteignent votre serveur d'origine sans interférence.
Les fichiers et répertoires de validation doivent pouvoir être lus par le processus du serveur web.
La définition des autorisations appropriées (généralement 755 pour les répertoires et 644 pour les fichiers) permet à la Certificate Authority d'accéder aux fichiers de validation lorsqu'elle vérifie la propriété du domaine pour votre certificat Trustico® SSL.
Processus de Domain Validation
Lorsque vous utilisez le dossier .well-known pour la validation du certificat Trustico® SSL, vous recevrez un fichier de vérification unique. Placez ce fichier dans le dossier .well-known conformément aux instructions fournies lors du processus de commande du certificat SSL.
Notre système de validation recherchera automatiquement ce fichier pour vérifier le contrôle du domaine. Une fois validé, votre certificat Trustico® SSL sera émis rapidement. Ce processus simplifié garantit un déploiement rapide de la sécurité de votre certificat SSL.
Le processus de validation s'achève généralement en quelques minutes une fois que le fichier de vérification est correctement placé. Nos systèmes automatisés vérifient en permanence la présence du fichier de validation et, en cas de vérification réussie, procèdent immédiatement à l'émission du certificat SSL.
Cette efficacité permet aux organisations de mettre en œuvre la sécurité des certificats SSL dans les plus brefs délais.
Pour les certificats Multi-Domain SSL ou les certificats Wildcard SSL, il peut être nécessaire de valider plusieurs domaines ou le domaine de base.
Chaque domaine nécessitant une validation aura son propre fichier de vérification unique qui doit être placé dans le répertoire .well-known du domaine respectif.
SSL Options de certificats
Trustico® propose une gamme complète de Certificate SSL pour répondre à tous les besoins en matière de sécurité.
Notre portefeuille comprend des certificats Domain Validation (DV), Organization Validation (OV) et Extended Validation (EV) SSL des marques Trustico® et Sectigo®.
Chaque type de Certificate SSL prend en charge la méthode de validation du dossier .well-known, ce qui rend la vérification du domaine cohérente dans l'ensemble de notre gamme de produits. Cette approche standardisée simplifie le processus de validation pour nos clients.
Domain Validation (DV) SSL Les certificats de Trustico® fournissent un cryptage de base et sont idéaux pour les blogs, les sites web d'information et les projets personnels. Ces certificats SSL vérifient uniquement la propriété du domaine et peuvent généralement être émis en quelques minutes à l'aide de la méthode de validation de dossier .bien connu.
Les certificats Organization Validation (OV) SSL nécessitent une vérification plus approfondie, y compris l'examen de la documentation commerciale. Bien que la partie contrôle du domaine utilise toujours la méthode du dossier .bien connu, des étapes de validation supplémentaires vérifient la légitimité de votre organisation. Ces certificats SSL sont idéaux pour les sites Web commerciaux et les plates-formes de commerce électronique.
Les certificats Extended Validation (EV) SSL représentent le plus haut niveau de validation disponible. La composante de validation du domaine utilise toujours le dossier .well-known, mais une vérification approfondie de l'entreprise est également requise. Ces certificats premium SSL sont parfaits pour les institutions financières, les organisations de santé et toute entreprise souhaitant démontrer le plus haut niveau de confiance à ses visiteurs.
Autres méthodes de validation
Bien que le dossier .well-known constitue une excellente méthode de validation pour les certificats Trustico® SSL, nous comprenons que certaines configurations de serveur ou certains environnements d'hébergement peuvent rendre cette approche difficile.
Trustico® propose plusieurs autres méthodes de validation pour répondre à différentes exigences techniques.
La validation par courrier électronique permet de vérifier la propriété du domaine au moyen de courriers électroniques envoyés aux adresses administratives standard associées à votre domaine (telles que admin@, webmaster@, etc.) Cette méthode est utile lorsque l'accès au système de fichiers du serveur est limité ou lorsque l'on travaille avec des panneaux de contrôle d'hébergement qui restreignent la manipulation directe du système de fichiers.
La validation DNS offre une autre alternative en vous demandant d'ajouter un enregistrement TXT spécifique aux paramètres DNS de votre domaine. Cette approche est particulièrement utile pour valider les Wildcard SSL Certificates ou lorsque vous travaillez avec des environnements d'hébergement où l'accès au système de fichiers est restreint.
La validation par fichier est une autre option qui consiste à placer un fichier de vérification directement dans le répertoire racine ou dans un emplacement spécifique de votre serveur web. Cette méthode a le même objectif de vérification que l'approche par dossier .well-known mais peut être plus facile à mettre en œuvre dans certains environnements d'hébergement où la création de structures de répertoires spécifiques est difficile.
Meilleures pratiques pour la mise en œuvre
Lors de la mise en œuvre des certificats SSL à l'aide de la méthode du dossier bien connu, il convient de suivre les pratiques recommandées par Trustico®.
Veillez à ce que les autorisations de dossier appropriées soient définies pour permettre un accès public tout en maintenant la sécurité du serveur. Conservez les fichiers de validation en place jusqu'à ce que votre certificat SSL soit entièrement délivré.
La mise à jour régulière de votre dossier .well-known assure un renouvellement en douceur des certificats SSL. Les notifications de renouvellement automatisées de Trustico® vous aident à gérer efficacement les cycles de vie des certificats SSL.
Envisagez de créer une structure de répertoire .well-known permanente plutôt que de la supprimer après la validation. Cette approche simplifie les renouvellements futurs des certificats SSL et permet d'autres mises en œuvre de sécurité normalisées qui utilisent ce répertoire.
De nombreuses organisations maintiennent ce répertoire dans le cadre de la configuration standard de leur serveur web.
Documentez votre processus de validation, y compris la configuration des serveurs et l'emplacement des fichiers. Cette documentation s'avère précieuse lors des renouvellements de Certificate SSL ou lors de la transition des responsabilités entre les membres de l'équipe. Une documentation appropriée assure la continuité de vos pratiques de sécurité et prévient les problèmes de validation lors des périodes de renouvellement de Certificate SSL.
Mettez en place une surveillance de votre répertoire .well-known afin de détecter toute modification ou tentative d'accès non autorisé. Bien que ce répertoire soit conçu pour être accessible au public, la surveillance des schémas d'accès peut aider à identifier les problèmes de sécurité potentiels ou les problèmes de validation avant qu'ils n'aient un impact sur le statut de votre Certificate SSL.
Support technique et ressources
Trustico® fournit une assistance technique complète pour tous les aspects de la mise en œuvre du certificat SSL, y compris des conseils et des informations sur le dossier .well-known.
Notre équipe peut vous aider en vous conseillant et en vous orientant vers des instructions pour la configuration du serveur, les défis de validation et l'installation du Certificate SSL.
Considérations de sécurité
Bien que le dossier .well-known doive rester accessible pour la validation, mettez en œuvre des mesures de sécurité appropriées pour protéger les autres fichiers sensibles. Trustico® recommande d'utiliser des permissions spécifiques pour les répertoires et de suivre les meilleures pratiques en matière de sécurité des serveurs Web.
Envisagez de mettre en œuvre des contrôles d'accès qui autorisent spécifiquement les systèmes de validation de l'autorité de certification (CA) tout en limitant l'accès non nécessaire au répertoire .well-known. Cela peut se faire par le biais de restrictions basées sur l'IP qui exemptent les serveurs de validation de l'autorité de certification connus ou par le biais d'une limitation de débit qui empêche les abus tout en autorisant les tentatives de validation légitimes.
Surveillez l'apparition de fichiers inattendus dans votre répertoire .well-known, car les pirates tentent parfois d'utiliser cet emplacement normalisé pour stocker du contenu malveillant. Des audits réguliers de ce répertoire permettent de s'assurer qu'il ne contient que des fichiers de validation légitimes et d'autres contenus autorisés.
Mettez en place une journalisation appropriée pour tous les accès au répertoire .well-known afin de conserver une piste d'audit des tentatives de validation et d'autres interactions. Ces journaux peuvent s'avérer précieux pour résoudre les problèmes de validation et à des fins de surveillance de la sécurité.
Automatisation de la validation des certificats SSL
Pour les organisations qui gèrent plusieurs domaines ou qui doivent renouveler fréquemment le certificat SSL, l'automatisation du processus de validation peut réduire considérablement les frais administratifs.
L'automatisation par script peut prendre en charge la création des répertoires requis et le placement des fichiers de validation sur vos serveurs web. De nombreuses organisations développent des scripts personnalisés qui implémentent automatiquement les fichiers de validation nécessaires dans le répertoire .well-known.
Les plates-formes de gestion des SSL Certificates peuvent simplifier davantage le processus de validation et de renouvellement en fournissant un contrôle centralisé sur les cycles de vie des certificats SSL. Ces plates-formes peuvent automatiser le processus de validation, y compris la gestion du dossier .well-known, garantissant ainsi des renouvellements en temps voulu sans intervention manuelle.
Démarrage avec les certificats Trustico® SSL
La mise en œuvre des certificats SSL à l'aide de la méthode de validation du dossier .well-known commence par la sélection du type de certificat SSL approprié à vos besoins.
Après avoir commandé votre certificat Trustico® SSL, vous recevrez des instructions détaillées pour créer la structure du répertoire .well-known et placer le fichier de validation.
Contactez notre team dès aujourd'hui pour discuter de vos besoins en matière de sécurité et en savoir plus sur la mise en œuvre des certificats SSL à l'aide de la méthode de validation des dossiers .well-known. Nous sommes prêts à vous aider à sélectionner et à déployer la solution de certificat SSL idéale pour votre organisation.
