Enregistrement CAA
L'enregistrement de ressource DNS d'autorisation de l'autorité de certification (CAA) permet au titulaire d'un nom de domaine DNS de spécifier les autorités de certification (CA) autorisées à délivrer des certificats pour ce domaine. La publication des enregistrements de ressources CAA permet à une autorité de certification publique de mettre en œuvre des contrôles supplémentaires pour réduire le risque de délivrance involontaire de certificats.
L'enregistrement permet également de définir des règles de notification lorsque quelqu'un demande un certificat à une CA non autorisée. Placer un enregistrement CAA dans un domaine DNS est un autre moyen d'améliorer la sécurité d'Internet.
Qu'est-ce qu'un enregistrement CAA
Un enregistrement CAA (Certification Authority Authorization) est un enregistrement dans la zone DNS d'un domaine qui indique quelle autorité de certification est autorisée à délivrer des certificats SSL pour ce domaine. Si aucun enregistrement CAA n'est répertorié dans le DNS, chaque CA peut délivrer un certificat pour ce domaine. Si un enregistrement CAA est présent, seules les CA répertoriées dans les enregistrements peuvent délivrer des certificats pour le domaine. Les enregistrements CAA peuvent définir des politiques à l'échelle du domaine ou des noms spécifiques. Les enregistrements CAA sont également hérités par les sous-domaines, donc un enregistrement CAA inséré dans exemple.net sera également valide sur tout sous-domaine, comme sous-domaines.exemple.net.
- Les enregistrements CAA sont spécifiés dans RFC 6844.
- En mars 2017, l'obligation de vérifier les enregistrements de domaine CAA a été votée au sein du forum CAB, et à partir du 8 septembre 2017, toutes les AC publiques sont tenues de vérifier les enregistrements de domaine CAA avant de délivrer un certificat et de rejeter la demande de certificat si l'enregistrement CAA existe et que la CA n'y figure pas.
Valeurs de l'enregistrement CAA
Le format de présentation canonique de l'enregistrement CAA est : CAA <flags> <tag> <value>
- <flags> (0 – 255) La valeur par défaut est 0 (requise). Si vous mettez 1, cela bloque la validation si le tag est inconnu de la CA. Nous recommandons de le régler sur "0".
Chaque AC peut spécifier ses propres paramètres en termes de valeurs. - Les paramètres <tag>
- issue permet la délivrance de tous les types de certificats par une CA spécifiée
- issuewild vous permet de permettre la délivrance de certificats WildCard séparément
En spécifiant 0 issuewild ";" nous indiquons que aucun certificat WildCard ne doit être délivré sur le domaine
La propriété issuewild a la même syntaxe et sémantique que la propriété issue, sauf que les propriétés issuewild n'autorisent que la délivrance de certificats spécifiant un domaine avec joker et que les propriétés issuewild ont priorité sur les propriétés issue lorsqu'elles sont spécifiées. - iodef définit l'adresse e-mail ou l'adresse du service Web pour signaler les violations de la politique répertoriées dans les enregistrements CAA par une autorité de certification
- <value>
Exemple de format d'enregistrement CAA dans le DNS :
- Domaine Type Valeur | note
- sslmentor.com. IN CAA 0 issue "sectigo.com" | un certificat peut être délivré par la CA Sectigo
- sslmentor.com. IN CAA 0 issue "letsencrypt.org" | un certificat peut être délivré par Let’s Encrypt
- sslmentor.com. IN CAA 0 issuewild "sectigo.com" | SEULEMENT la CA Sectigo peut délivrer un certificat WildCard
- sslmentor.com. IN CAA 0 iodef "mailto:info@sslmentor.cz" | contact pour la notification des violations
Comment configurer un enregistrement CAA
Avant de placer un enregistrement CAA dans la zone DNS, il est conseillé de le générer à l'aide de l'un des services en ligne. Un tel outil est SSLMate (Assistant d'enregistrement CAA), qui propose un choix parmi de nombreuses autorités de certification. Il vous suffit de choisir votre autorité préférée, que vous puissiez délivrer n'importe quel certificat ou même un WildCard, et le générateur proposera des enregistrements à insérer dans le DNS.
Insertion d'un enregistrement CAA dans le DNS
Pour insérer un enregistrement CAA, le fournisseur d'enregistrement DNS doit le prendre en charge. De nos jours, chaque hébergeur ou registraire devrait offrir la possibilité d'entrer des enregistrements CAA dans le DNS. Les images montrent l'insertion chez certains services d'hébergement. Il est toujours nécessaire d'attendre qu'il se propage après l'insertion des enregistrements CAA. Si l'hébergement l'exige, n'oubliez pas de publier de nouveaux enregistrements DNS sur Internet. Par exemple, vous devez confirmer "Appliquer les changements".
Vérification de l'enregistrement CAA
À mesure que les enregistrements DNS se propagent, nous pouvons utiliser certains des outils en ligne pour vérifier si nous avons téléchargé avec succès des enregistrements CAA. Par exemple, dnsspy.io/labs/caa-validator ou en listant un enregistrement CAA dans le DNS avec digwebinterface.com
Prochaine étape ?
Retour à l'aide
Vous avez trouvé une erreur ou vous ne comprenez pas quelque chose ? Écrivez-nous !