Qu’est-ce que la CAA (Autorisation des Autorités de Certification) ?

Un registre d'Autorisation des Autorités de Certification (CAA) est utilisé pour déterminer quelles autorités de certification (AC) sont habilitées à délivrer des certificats pour un domaine. Cela empêche les certificats d'un domaine d'être délivrés par une autre autorité de certification. En établissant un enregistrement CAA, le propriétaire d'un domaine peut également être informé des tentatives illégales d'obtenir un certificat délivré sur ce domaine. Les enregistrements CAA peuvent être utilisés pour l'ensemble du domaine ou pour des noms d'hôtes (hostname) spécifiques. Ils sont transférables dans des sous-domaines, à moins qu'ils ne soient écrasés par leur propre enregistrement. Les enregistrements CAA peuvent être utilisés à la fois sur un domaine unique et des domaines génériques.

Comment une AC vérifie l'existence d'un enregistrement CAA ?

Il n'est pas obligatoire à un utilisateur de faire établir un enregistrement CAA. Toutefois, cela est recommandé pour un niveau de sécurité supplémentaire. Depuis le 08 septembre 2017, les autorités de certification (AC) sont tenues de vérifier cet enregistrement. Si au moins un enregistrement CAA a été renseigné et que l'AC pour laquelle vous souhaitez demander un certificat n'est pas répertoriée, l'Autorité de Certification peut ne pas émettre de certificat pour le domaine concerné. La vérification de l'existence d'un enregistrement CAA a lieu lors de la demande d'un certificat SSL. Lorsque vous modifiez ou ajoutez ultérieurement un enregistrement CAA (par exemple un an plus tard), un certificat SSL qui a été demandé avant cette date restera valable.

Comment contrôler un enregistrement CAA ?

Vous pouvez vérifier si l'enregistrement CAA peut être trouvé et quelle valeur y est définie. Pour cela, utilisez l'analyse SSL LABS Qualys Networking4all.

Etablir un enregistrement CAA

La création d'un enregistrement CAA fonctionne selon un format fixe. Trois possibilités différentes peuvent être utilisées :

  • Issued : donne l'autorisation explicite à une AC de délivrer un certificat pour le nom de domaine.
  • Issuewild : donne l'autorisation explicite à une AC de délivrer un certificat wildcard pour le nom d'hôte.
  • Iodef : spécifie une URL où une AC peut signaler des violations de politiques.

Lors de la création d'un enregistrement CAA, l'une de ces options doit être choisie. Voici un exemple d'enregistrement CAA :

  • CAA 0 numéro "symantec.com"
  • CAA 0 iodef "mailto:abuse@networking4all.com"

Politique complémentaire de l'AAC

Il est possible d'ajouter une politique CAA supplémentaire à un nom de domaine. Il peut s'agir, par exemple, de la règle selon laquelle seuls des certificats SSL EV peuvent être émis pour ce domaine ou ce nom domaine spécifique. Par exemple, la règle selon laquelle seuls des certificats SSL EV peuvent être émis pour ce domaine ou ce nom de domaine spécifique :

  • CAA 0 issue "digicert.com; policy=ev"

Enregistrements CAA par AC

Vous trouverez ci-dessous des exemples d'enregistrements par AC pour mettre en place votre politique de CAA :

TrustProvider
  • CAA 0 issue "trustproviderbv.digitalcertvalidation.com"
  • CAA 0 issuewild "trustproviderbv.digitalcertvalidation.com"
DigiCert
  • CAA 0 issue "digicert.com"
  • CAA 0 issuewild "digicert.com"
Symantec
  • CAA 0 issue "symantec.com"
  • CAA 0 issuewild "symantec.com"
GeoTrust
  • CAA 0 issue "geotrust.com"
  • CAA 0 issuewild "geotrust.com"
Thawte
  • CAA 0 issue "thawte.com"
  • CAA 0 issuewild "thawte.com"
Rapid SSL
  • CAA 0 issue "rapidssl.com"
  • CAA 0 issuewild "rapidssl.com"
GlobalSign
  • CAA 0 issue "globalsign.com"
  • CAA 0 issuewild "globalsign.com"
AlphaSSL
  • CAA 0 issue "globalsign.com"
  • CAA 0 issuewild "globalsign.com"