Aller au contenu
Lecture · 2 min

TLS wildcard par DNS-01

Obtenir et renouveler un certificat wildcard Let's Encrypt sans exposer quoi que ce soit.

SécuriséFiable

Le problème

Une plateforme avec de nombreux sous-domaines, dont la plupart sont privés. Le challenge ACME classique (HTTP-01) valide chaque nom en servant un fichier sur le port HTTP public. Il faut donc exposer quelque chose pour chaque sous-domaine, y compris ceux qui n’ont rien à faire sur Internet. Et chaque certificat émis inscrit son nom dans les journaux de transparence des certificats, publics et scannés en continu : émettre un certificat par service revient à publier la carte de son infrastructure.

Le pattern

Le challenge DNS-01 prouve le contrôle du domaine plutôt que d’un serveur web. Le client ACME pose un enregistrement TXT temporaire (_acme-challenge.<domaine>) via l’API du registrar (OVH), Let’s Encrypt le vérifie, le certificat est émis. Conséquences :

Les pièges

Quand ne pas l’utiliser

Un seul domaine public, pas de sous-domaines privés, pas d’API DNS fiable : HTTP-01 est plus simple et suffit. DNS-01 vaut son coût dès qu’il y a du privé à protéger ou du wildcard à couvrir.