RechercheAssistanceEssai Gratuit
Contact
Sectigo Blog

Comprendre les connecteurs DCV et DNS persistants : Simplifier la validation de domaine à grande échelle

Alors que la durée de vie des certificats diminue, la façon dont les organisations gèrent la validation des domaines doit évoluer. Le DCV persistant et le support étendu des connecteurs DNS dans Sectigo Certificate Manager sont conçus pour rendre cette transition gérable à n'importe quelle échelle.

28 mai 2026

L'évolution du secteur s'accélère

Le secteur TLS connaît actuellement l'une des transitions opérationnelles les plus importantes depuis des années. Les mandats des autorités de certification et du forum des navigateurs réduisent les périodes de validité des certificats et resserrent les fenêtres de réutilisation de la validation du contrôle de domaine (DCV). Pour les organisations qui gèrent des certificats à grande échelle, il s'agit d'une préoccupation majeure pour l'avenir proche.

Le passage à des cycles de vie des certificats de 47 jours modifiera fondamentalement la façon dont les équipes envisagent le renouvellement et la validation. Ce qui était une tâche annuelle deviendra un flux de travail opérationnel continu. Les organisations qui s'appuient sur des mises à jour DNS manuelles et des processus de renouvellement ad hoc seront confrontées à une pression croissante à mesure que ces changements prendront effet.

La pression est ressentie de manière inégale. Les entreprises qui gèrent de grands ensembles de certificats, des certificats SAN complexes et des domaines de type "wildcard" sont les premières à la ressentir. Mais la réalité opérationnelle est claire pour tous : la gestion manuelle des certificats ne pourra pas s'adapter aux exigences des cycles de vie plus courts.

Sectigo aide ses clients à relever ce défi. Grâce à la prise en charge de Persistent DCV dans Sectigo Certificate Manager (SCM), combinée à un ensemble considérablement élargi d'intégrations de connecteurs DNS, les équipes peuvent commencer à construire les flux de travail automatisés dont ils ont besoin avant que ces changements ne deviennent obligatoires.

Qu'est-ce qui change ? Comprendre le nouveau calendrier

Le forum CA/Browser a établi une trajectoire claire : Les preuves DCV expireront plus fréquemment et les certificats devront être renouvelés sur des cycles beaucoup plus courts. Pour les équipes qui s'appuient actuellement sur des mises à jour DNS occasionnelles liées à des renouvellements annuels, le calcul opérationnel ne tient plus la route.

Effet cumulatif : les équipes qui gèrent aujourd'hui les renouvellements manuellement seront confrontées aux mêmes tâches à une fréquence cinq à huit fois plus élevée. La coordination des DNS, les approbations de la gestion du changement et la validation par renouvellement s'accumuleront rapidement, créant à la fois un ralentissement opérationnel et un risque réel d'interruption de service.

Qu'est-ce que le DCV persistant ?

La DCV persistante est une nouvelle approche de la validation de domaine basée sur le DNS qui élimine la nécessité de créer et de mettre à jour des enregistrements DNS TXT à chaque cycle de renouvellement. Au lieu de provisionner un enregistrement temporaire pour chaque événement de validation, une organisation publie une seule fois un enregistrement TXT persistant. L'autorité de certification effectue ensuite automatiquement des contrôles de validation récurrents sur cet enregistrement, sans nécessiter d'autre intervention de la part du DNS. Voici les différences étape par étape :

DCV traditionnel :

  1. Installer le connecteur DNS dans votre environnement
  2. Demande de certificat
  3. Ajout d'un enregistrement TXT temporaire
  4. Valider
  5. Suppression/mise à jour de l'enregistrement
  6. Répéter l'opération dans 100 ou 47 jours

VCD persistant :

  1. Publier une fois l'enregistrement TXT persistant
  2. L'autorité de certification effectue automatiquement des contrôles de validation récurrents
  3. Renouvellement continu des certificats sans modifications répétées du DNS

Pourquoi le CA/Browser Forum a-t-il introduit le DCV persistant ?

La méthode de validation persistante du DNS TXT a été introduite par le biais de SC088, un vote du CA/Browser Forum sponsorisé par Sectigo. Ce vote est né d'un retour d'information direct des clients : avec l'augmentation de la fréquence de renouvellement des certificats, la charge opérationnelle des mises à jour répétées de la DCV devenait insoutenable pour les équipes d'entreprise.

Le parrainage de SC088 par Sectigo reflète un engagement plus large en faveur de l'élaboration de normes qui concilient de solides garanties de sécurité avec la praticité opérationnelle. La DCV persistante ne réduit pas la rigueur de la vérification de la propriété du domaine. Elle modifie le moment et la manière dont cette vérification est effectuée, en passant de contrôles événementiels à une validation continue et automatisée.

Le CA/Browser Forum a reconnu que la réduction de la durée de vie des certificats nécessitait un modèle d'automatisation évolutif. Le DCV persistant est la réponse de l'industrie à cette exigence au niveau de la couche de validation.

Pourquoi la DCV persistante est importante pour les équipes d'entreprise

Le contexte de l'entreprise est important ici. Les grandes entreprises ne gèrent pas une poignée de certificats. Elles en gèrent des milliers, souvent dans des environnements appartenant à différentes équipes, utilisant différents fournisseurs DNS, régis par des politiques de gestion du changement qui introduisent un délai dans chaque mise à jour.

Les défis courants auxquels les équipes sont confrontées aujourd'hui sont les suivants

  • De grands ensembles de certificats couvrant plusieurs environnements
  • Certificats SAN regroupant plusieurs domaines et nécessitant une validation coordonnée
  • la complexité des certificats Wildcard et la surveillance accrue dans le cadre de cycles de vie plus courts
  • La propriété du DNS répartie entre les équipes d'infrastructure, de réseau et de plate-forme.
  • Processus de gestion des changements qui ajoutent des jours ou des semaines aux mises à jour DNS
  • Risque d'interruption lorsque les enregistrements DCV expirent avant que les renouvellements ne soient terminés.

Le DCV persistant répond directement à chacun de ces problèmes :

  • Réduction des frais généraux opérationnels : Élimination du cycle récurrent de mise à jour DNS pour les domaines établis
  • Diminution du risque de panne : Supprime le mode de défaillance des enregistrements DCV expirés qui entraînent l'échec des renouvellements.
  • Meilleure évolutivité : Prise en charge de l'automatisation de gros volumes de certificats sans travail DNS proportionnel
  • Meilleure préparation à l'automatisation : Alignement de la validation des domaines sur les cycles de certificats de 47 jours et plus.
  • Conformité simplifiée : Facilite le maintien et la démonstration de l'aptitude à la validation continue

L'approche de Sectigo : DCV persistant et connecteurs DNS dans SCM

Sectigo Certificate Manager prend désormais en charge les enregistrements DNS TXT persistants pour l'automatisation continue de la DCV et une bibliothèque considérablement élargie d'intégrations de connecteurs DNS. Ensemble, ces capacités répondent aux deux principales couches du défi de la validation DNS : la méthode utilisée et la façon dont les changements DNS sont exécutés.

DCV persistant dans SCM

La prise en charge de la DCV persistante par SCM permet aux équipes de :

  • publier des enregistrements TXT persistants pour les domaines gérés
  • Permettre une validation récurrente automatisée sans modifications DNS supplémentaires
  • Réduire la dépendance à l'égard de la coordination DNS manuelle au moment du renouvellement
  • Aligner les flux de validation sur les exigences opérationnelles des cycles de vie plus courts des certificats.

Cela fait partie de l'approche DCV évolutive de Sectigo : traiter la validation des domaines comme un système coordonné et automatisé plutôt que comme une tâche ponctuelle à chaque renouvellement.

Support étendu des connecteurs DNS

Pour les situations où des changements DNS sont encore nécessaires (y compris la configuration initiale des enregistrements persistants ou la gestion de nouveaux domaines), les connecteurs DNS de SCM automatisent l'exécution de ces changements directement à partir de la plateforme.

Les connecteurs DNS de SCM se connectent directement à votre fournisseur DNS et permettent à SCM de créer et de valider automatiquement les défis des enregistrements DNS TXT en votre nom. Plutôt que d'exiger une coordination manuelle entre les équipes de certification et les administrateurs DNS, le connecteur gère l'interaction DNS de manière programmatique, supprimant ainsi les points de contact humains et les retards qui en découlent.

Sectigo étend fréquemment le support des connecteurs DNS pour couvrir une large gamme de fournisseurs, la couverture la plus récente étant listée ici.

Cette étendue de la couverture reflète un effort délibéré pour atteindre les organisations où que se trouve leur infrastructure DNS, qu'il s'agisse d'un fournisseur majeur de cloud, d'une plateforme DNS d'entreprise spécialisée ou d'un environnement auto-hébergé. La couche d'intégration LEGO va encore plus loin en rendant l'automatisation DNS de SCM accessible à plus de 100 fournisseurs DNS par le biais d'une architecture de connecteur unique.

Comment les deux fonctionnalités fonctionnent ensemble

Les connecteurs DCV et DNS sont complémentaires et non interchangeables. Persistent DCV réduit la dépendance à l'égard des changements de DNS pendant le cycle de renouvellement. Les connecteurs DNS automatisent les modifications DNS qui restent nécessaires, y compris la publication de l'enregistrement persistant initial. Ensemble, ils offrent aux équipes deux leviers pour réduire le travail manuel sur le DNS :

  • Lorsque des enregistrements persistants peuvent être utilisés, les points de contact DNS pendant le renouvellement sont entièrement éliminés
  • Lorsque des modifications DNS sont encore nécessaires, les connecteurs automatisent l'exécution sans coordination manuelle.

L'effet net est un flux de validation qui s'adapte proprement à l'augmentation des volumes de certificats et des fréquences de renouvellement.

Ce que les clients doivent faire maintenant

La fenêtre de préparation est ouverte, mais elle se rétrécit. Les organisations qui commencent la transition dès maintenant seront mieux positionnées lorsque les échéances obligatoires arriveront. Mesures recommandées :

  • Faites l'inventaire de vos certificats : Identifiez les certificats TLS publics expirant après le 15 mars 2026 et évaluez les domaines candidats à un DCV persistant.
  • Examinez les enregistrements DCV existants : Identifiez les enregistrements DCV collants ou vieillissants qui approchent de l'expiration de leur réutilisation afin d'éviter les échecs de renouvellement.
  • Donner la priorité aux domaines SAN et aux domaines génériques : Ce sont eux qui supportent le plus de frais généraux de coordination et qui sont les plus sensibles d'un point de vue opérationnel dans des délais serrés.
  • Publier des enregistrements TXT persistants : Commencer dès maintenant la transition des domaines établis vers des DCV persistants, avant que l'augmentation de la fréquence des renouvellements ne l'exige à grande échelle.
  • Adopter largement l'automatisation : Utiliser les flux de validation récurrents automatisés et les capacités d'automatisation du cycle de vie de SCM pour réduire les interventions manuelles dans l'ensemble du parc de certificats.

Perspectives d'avenir : Se préparer aux certificats de 47 jours

Le passage à des cycles de vie des certificats de 47 jours nécessitera un modèle opérationnel fondamentalement différent. Les organisations qui réussiront cette transition sont celles qui ont déjà mis en place l'infrastructure d'automatisation nécessaire, et non celles qui s'efforcent de rattraper leur retard à l'arrivée des échéances.

Le DCV persistant est une étape importante dans cette direction. Elle élimine une source importante de travail manuel dans le cycle de renouvellement, réduit une catégorie courante de risque d'interruption et aligne la validation des domaines sur les rythmes opérationnels exigés par des cycles de vie plus courts. Associé à la bibliothèque étendue de connecteurs DNS de SCM, il offre aux équipes un chemin pratique vers l'automatisation du dernier kilomètre de leurs flux de travail de certificats.

La gestion manuelle des certificats, avec des fréquences de renouvellement adaptées aux machines, n'est pas une stratégie viable à long terme. Les organisations qui investissent aujourd'hui dans une infrastructure de validation automatisée et reproductible seront les mieux placées pour faire face à la réalité opérationnelle qui s'annonce.

Commencer

Le DCV persistant et le support des connecteurs DNS sont disponibles dès aujourd'hui dans Sectigo Certificate Manager. Pour en savoir plus ou commencer votre transition :

  • Contactez votre représentant Sectigo pour discuter de votre domaine de certificats et de l'évaluation de votre état de préparation.
  • Explorer la configuration du DCV persistant dans SCM et identifier les domaines à transférer en premier.
  • Examinez les connecteurs DNS disponibles dans SCM sous Intégrations > Connecteurs DNS pour trouver la bonne intégration pour votre environnement.
  • Planifier une évaluation de l'état de préparation afin d'établir une feuille de route d'automatisation priorisée avant que les mandats de cycle de vie plus courts n'entrent en vigueur.

Persistent DCV aide les entreprises à simplifier la validation des domaines tout en se préparant à la transition de l'industrie vers des cycles de vie des certificats considérablement plus courts. En réduisant les mises à jour DNS répétitives et en permettant une validation continue, Sectigo Certificate Manager aide les entreprises à moderniser leurs opérations de certification avant que ces changements ne deviennent obligatoires.