Onur Cebeci • 09.03.2026

Une nouvelle méthode de validation de domaine simplifie la gestion des certificats

Validation DNS réutilisable disponible dès novembre 2025 (Ballot SC-088v3).


Pertinence pour les utilisateurs de certificats	★★☆☆☆ (2/5), passera à ★★★★☆ (4/5) d'ici 2029
Utilisateurs concernés	Organisations avec émission automatisée de certificats (MPKI, plateformes CLM), particulièrement pertinent à partir de 2029
Types de certificats concernés	Certificats TLS/SSL (DV, OV, EV) et S/MIME
Effort de mise en œuvre	★★☆☆☆ (2/5), configuration DNS unique par domaine, revalidation au moins tous les 10 jours (prêt pour 2029)
Statut du CA/B Forum	SC-088v3 (Server Certificate) adopté le 9 octobre 2025, en vigueur le 11 novembre 2025
Statut SwissSign	Mise en production prévue pour l'été 2026, revalidation tous les 8 jours
Date limite pour les utilisateurs de certificat	Aucune (méthode optionnelle)
Liens	Ballot SC-088v3 : DNS TXT Record with Persistent Value DCV Method TLS Baseline Requirements v2.1.9, section 3.2.2.4.22

Résumé

Les autorités de certification peuvent désormais utiliser une nouvelle méthode de validation de domaine basée sur des enregistrements DNS TXT à valeur persistante. Contrairement aux méthodes DNS habituelles, les utilisateurs de certificats ne doivent créer l'enregistrement DNS qu'une seule fois et peuvent le réutiliser pour toutes les validations de domaine ultérieures. Les AC doivent vérifier cet enregistrement au moins tous les 10 jours conformément aux exigences du CA/Browser Forum. L'obligation de mise en œuvre incombe aux AC — les utilisateurs qui automatisent l'émission de leurs certificats (p. ex. via SwissSign Managed PKI) bénéficient ainsi d'un moyen simplifié pour valider leur domaine.

Validation DNS : qu'est-ce qui change concrètement ?

Depuis le 11 novembre 2025, les autorités de certification peuvent utiliser une nouvelle méthode selon la section 3.2.2.4.22 «DNS TXT Record with Persistent Value» pour la validation de domaine. Les AC créent un jeton lié au compte, que les utilisateurs placent dans leur DNS. L'AC valide ensuite ce jeton au moins tous les 10 jours. Contrairement aux méthodes classiques, il n'est donc plus nécessaire de placer un nouvel enregistrement TXT avec une valeur aléatoire pour chaque validation de domaine. La fréquence de validation correspond déjà aux exigences qui s'appliqueront généralement à la validation de domaine à partir de mars 2029.

Les TLS Baseline Requirements ont été mis à jour vers la version v2.1.9.

Actions requises pour les utilisateurs de certificats

Pour les organisations gérant 250 certificats ou plus

Niveau d'impact: Moyen à élevé (croissant à partir de 2026)

Si vous utilisez la gestion automatisée des certificats (Managed PKI, ACME, API REST, plateformes CLM): la nouvelle méthode est déjà pratique aujourd'hui. Tandis que les autres méthodes (DNS-01, HTTP-01) exigent une modification à chaque validation de domaine, Persistent DNS permet à l'AC de valider automatiquement le même enregistrement au moins tous les 10 jours, sans aucune mise à jour DNS de votre part.

Si vous disposez de processus stricts de gestion des changements DNS: Persistent DNS est idéal, une seule modification DNS au lieu de plusieurs fois par an.

Si vous gérez de nombreux domaines: la charge administrative diminue considérablement. 100 domaines × 4 validations par an = 400 modifications DNS avec d'autres méthodes, contre 100 configurations uniques avec Persistent DNS.

Préparation pour 2029: à partir de 2029, la durée de validité maximale des certificats TLS/SSL passera à 47 jours et la propriété du domaine devra être validée au moins tous les 10 jours. Avec Persistent DNS, vous êtes déjà prêt.

Ce que vous pouvez faire dès maintenant: nous vous informerons en temps utile ici, via le flux RSS et par e-mail, avant d'activer la méthode de validation dans notre MPKI, avec les instructions de configuration.

Risques en cas d'inaction: au plus tard en 2029, les informations de domaine devront être validées au moins tous les 10 jours. La gestion DNS manuelle deviendra alors de plus en plus impossible. Avec Persistent DNS, vous êtes déjà prêt aujourd'hui et vous économisez des modifications DNS. Les organisations qui attendent jusqu'en 2029 devront migrer des centaines d'enregistrements DNS dans l'urgence.

Pour les organisations de taille réduite (<250 certificats)

Niveau d'impact: Faible à moyen

Pour les flux de travail manuels avec une émission de certificats peu fréquente et une gestion DNS non critique, le bénéfice reste limité jusqu'en 2026/2027.

Mise en œuvre chez SwissSign

SwissSign prévoit de mettre en œuvre cette nouvelle méthode de validation en juillet 2026, afin d'offrir aux clients une sécurité DNS accrue et de laisser suffisamment de temps pour se préparer à des durées de validité plus courtes. Pour garantir une marge de sécurité, conformément à la pratique habituelle des autorités de certification, SwissSign revalidera les domaines avec la nouvelle méthode tous les 8 jours.

Contexte du ballot : réduction de la complexité opérationnelle

Situation actuelle : avec des durées de validité de certificats supérieures à un an, la gestion manuelle des enregistrements DNS représente une charge acceptable pour la plupart des organisations.

Problème / facteur déclencheur: les périodes de réutilisation des données de validation de domaine seront considérablement raccourcies dans les prochaines années, dans le but de renforcer la sécurité de l'ensemble de l'écosystème PKI public:

À partir du 15 mars 2026: période de réutilisation maximale de 200 jours
À partir du 15 mars 2027: maximum 100 jours
À partir du 15 mars 2029: maximum 10 jours

Contexte: la nouvelle méthode résout ce problème. L'enregistrement DNS est créé une seule fois et reste permanent. L'AC valide au moins tous les 10 jours, sans que l'utilisateur n'ait à modifier son DNS. Cela rend la méthode utile dès aujourd'hui et indispensable à partir de 2029.

Principes de base de la validation de domaine par DNS

Qu'est-ce que la validation de domaine par DNS (méthodes existantes)?

La validation de domaine par DNS est une méthode par laquelle l'AC vérifie que le demandeur contrôle la zone DNS d'un domaine:

L'AC génère un jeton aléatoire ou demande un jeton
Le demandeur crée un enregistrement DNS TXT (p. ex. sous _acme-challenge.exemple.com) contenant ce jeton
L'AC interroge l'enregistrement DNS et valide le jeton
Une fois la validation réussie, l'enregistrement peut être supprimé
Ce processus est répété avec un nouveau jeton pour chaque validation de domaine

Cette méthode existe sous différentes formes (DNS-01 Challenge pour ACME, DNS Change Method 3.2.2.4.7, etc.).

Qu'est-ce que la Persistent DNS TXT Validation (nouvelle méthode)?

La nouvelle méthode fonctionne de manière similaire, mais avec des enregistrements réutilisables qui sont validés par l'autorité de certification au moins tous les 10 jours.

Sécurité:

L'Issuer Domain Name empêche d'autres AC («malveillantes») de réutiliser le même enregistrement
L'Account URI garantit que seul le client légitime peut faire émettre des certificats
La limite maximale de 10 jours réduit le risque en cas de prise de contrôle de domaine

Qu'est-ce qu'un Account URI?

L'Account URI est un identifiant unique (au format URI) que SwissSign attribue à chaque compte client.

Cet URI sert de preuve d'autorisation: seul quelqu'un qui dispose à la fois d'un accès à la zone DNS et connaît l'Account URI correct peut faire émettre des certificats. Un attaquant ayant uniquement compromis la zone DNS ne peut pas obtenir de certificats sans l'Account URI.

Questions fréquemment posées (FAQ)

Non. Il s'agit d'une nouvelle méthode de validation optionnelle. Toutes les méthodes existantes (HTTP-01, DNS-01 avec valeur aléatoire, e-mail construit, TLS-ALPN-01, etc.) restent entièrement disponibles et continuent de fonctionner de manière inchangée.

Vous pouvez créer un enregistrement DNS TXT distinct pour chaque AC. Les enregistrements sont distingués par l'Issuer Domain Name, de sorte que chaque AC ne valide que son propre enregistrement. Plusieurs enregistrements TXT portant le même nom sont autorisés dans le DNS et sont tous retournés.

Oui. La méthode Persistent DNS prend en charge les certificats wildcard (p. ex. *.exemple.com). Une fois validée, l'AC peut également émettre des certificats pour d'autres FQDN se terminant par tous les labels de domaine du FQDN validé, exactement comme avec les autres méthodes DNS.

Les enregistrements créés avec la nouvelle méthode n'ont plus besoin d'être renouvelés manuellement par l'utilisateur. En option, l'attribut persistUntil peut être ajouté, un paramètre optionnel dans l'enregistrement TXT de la nouvelle méthode Persistent DNS TXT Validation. Il indique jusqu'à quand l'AC peut considérer cet enregistrement de validation comme valide. Si ce paramètre n'est pas fourni, l'enregistrement est traité comme n'ayant pas de date d'expiration et est revalidé par l'AC au moins tous les dix jours.

Avec ces deux outils gratuits :

dig : affiche l'enregistrement DNS TXT actuel — vérifiez que le format et les valeurs sont corrects
DNS Checker : affiche la propagation DNS dans le monde entier — assurez-vous que l'enregistrement est visible partout

Oui, car la propriété du domaine doit également être démontrée pour les certificats S/MIME. La section 3.2.2.1 de la réglementation S/MIME renvoie à la section 3.2.2.4 de la réglementation TLS.

Oui. Tous les certificats TLS/SSL (DV, OV, EV) nécessitent une validation de domaine conformément à la section 3.2.2.4. La nouvelle méthode peut être utilisée pour la validation de domaine de tout certificat TLS/SSL (la réutilisabilité des « Subject Identity Information » est également réduite dans le cadre des ajustements de durée de validité). Les certificats OV et EV nécessitent en outre une validation d'organisation, mais la validation de domaine fonctionne de manière identique.