Quel type de défi ACME dois-je utiliser? HTTP-01 ou DNS-01?

Vous ne savez pas si vous devez utiliser le défi HTTP-01 ou DNS-01 ACME? Cette FAQ présente les avantages et les inconvénients des deux méthodes DV.

Rubriques connexes

Vous voulez continuer à apprendre?

Abonnez-vous à la newsletter SSL.com, restez informé et en sécurité.

Lorsque vous utilisez le Protocole ACME Pour commander des certificats auprès de SSL.com, nous validons votre contrôle du ou des noms de domaine dans votre demande de certificat avec un «défi» qui vous obligera à apporter une modification vérifiable à votre site Web ou à vos enregistrements DNS. Cette FAQ couvre les avantages et les inconvénients associés aux types de défis pris en charge par SSL.com: HTTP-01 et DNS-01.

Défi HTTP-01

Le défi HTTP-01 exige que vous ou votre client ACME créez un fichier contenant un jeton aléatoire et une empreinte digitale de votre clé de compte sur votre serveur Web, prouvant ainsi le contrôle du site Web à l'autorité de certification. Le défi spécifie à la fois le contenu du fichier et l'URL où il doit être créé (qui sera toujours précédé de .well-known/acme-challenge/, suivi de la valeur du jeton). Un exemple de défi HTTP-01 manuel pour example.com est illustré ci-dessous:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Créez un fichier contenant uniquement ces données: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI Et rendez-le disponible sur votre serveur web à cette URL: http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Appuyez sur Entrée pour continuer

Avantages et inconvénients de HTTP-01

HTTP-01 est le type de défi ACME le plus couramment utilisé, et SSL.com le recommande à la plupart des utilisateurs. Ses principaux avantages sont la facilité d'automatisation des plates-formes de serveurs Web populaires telles que Apache et Nginx, et l'absence de tout besoin de configurer les enregistrements DNS et d'attendre qu'ils se propagent. Cependant, il y a quelques limitations que vous devez connaître avant d'utiliser HTTP-01:

  • Le défi HTTP-01 ne fonctionne que sur le port 80, il ne peut donc pas être utilisé si ce port est bloqué sur votre serveur Web.
  • S'il existe plusieurs serveurs pour un nom de domaine, le fichier de défi HTTP-01 doit être placé sur chacun d'eux.

Défi DNS-01

Le défi DNS-01 vous oblige à créer un enregistrement DNS TXT pour votre domaine, y compris un jeton aléatoire et une empreinte digitale de votre clé de compte, à _acme-challenge.<YOUR_DOMAIN>. Le serveur ACME de SSL.com interrogera DNS pour cet enregistrement et émettra le certificat s'il trouve une correspondance. Ceci est un exemple de défi DNS-01 manuel pour example.com:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Veuillez déployer un enregistrement DNS TXT sous le nom _acme -challenge.example.com avec la valeur suivante: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Avant de continuer, vérifiez que l'enregistrement est déployé. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Appuyez sur Entrée pour continuer

Avantages et inconvénients du DNS-01

Le défi DNS-01 est plus difficile à automatiser que HTTP-01, exigeant que votre fournisseur DNS fournisse une API pour gérer vos enregistrements DNS. Dans ce cas, vous devrez également faire face à la menace potentielle de sécurité liée à la conservation des informations d'identification de l'API DNS sur votre serveur Web. Avec le défi DNS-01, vous devrez également vérifier la propagation de votre enregistrement ou configurer un délai dans votre client ACME après la création de l'enregistrement. Cependant, il existe plusieurs circonstances dans lesquelles vous pouvez choisir DNS-01 sur HTTP-01:

  • Si votre domaine possède plusieurs serveurs Web, vous n'aurez pas à gérer les fichiers de défi sur plusieurs serveurs.
  • DNS-01 peut être utilisé même si le port 80 est bloqué sur votre serveur Web.

Notez que pour certaines demandes de certificat (comme pour une entrée générique avec le nom de domaine de base), vous devrez peut-être créer plusieurs enregistrements TXT avec le même nom. C'est correct à faire, mais vous devez nettoyer les anciens enregistrements TXT des défis précédents afin que la taille de la réponse DNS ne devienne pas trop grande pour que le serveur l'accepte.

SSL.com fournit une grande variété de SSL /TLS certificats de serveur pour les sites Web HTTPS.

COMPARER SSL /TLS CERTIFICATS

Restez informé et en sécurité

SSL.com est un leader mondial de la cybersécurité, PKI et les certificats numériques. Inscrivez-vous pour recevoir les dernières nouvelles de l'industrie, des conseils et des annonces de produits de SSL.com.

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.