Qu'est-ce qu'un record CAA?

Un record autorisation d'autorité de certification (CAA) est utilisé pour déterminer quel autorité de certifications (CAs) sont autorisés émettre certificats pour un domaine. Ceci peut prévenir que certificats pour un domaine sont émis par un autre CA. Grâce à l'installation d'un CAA le propriétaire du domaine peut être informé des tentatives illégales d'obtenir un certificat sur le domaine.

CAA records peuvent être utilisés pour tout le domaine, ou noms d'hôtes spécifiques. Ils sont transférable aux sous-domaines, sauf il y a un record separat sur le sous-domaine pour remplacer le record main. CAA records peuvent être utilisés à domaine unique ou domaines wildcard.

Un CA doit vérifier l'existence d'un CAA record

L'installation d'un CAA record par l'utilisateur n'est pas obligatoire. Cependant, il est recommandé comme une mesure supplémentaire de sécurité. À partir du 8 septembre 2017 est un CA obligatoire de vérifier ce record. Lors qu'au moins d'un record est disponible et le CA pour lequel vous voulez un certificat n'est pas disponible, le CA ne peut pas émettre un certificat pour le domaine. La vérification d'existence d'un CAA record a lieu pendant la création d'un certificat SSL. Si vous adaptez ou ajoutez un CAA record plus tard (par exemple un an plus tard), le certificat SSL qui est demandé avant cette date est valable.

Vérifier CAA record

Vous pouvez vérifier l'existence d'un CAA record et la valeur, utiliser le Networking4all Qualys SSLLABS scan.

Installer un CAA record

L'installation d'un CAA record fonctionne selon un format défini. Celle-ci utilise trois différentes tags:

  • Issue: donne autorisation explicite au CA pour émettre un certificat pour le nom d'hôte.
  • Issuewild: donne autorisation explicite au CA pour émettre un wildcard certificat pour le nom d'hôte.
  • Iodef: donne un URL sur lequel un CA peut signaler des violations au protocole.

Un de ces tags doivent être choisis pendant la création d'un CAA record. Un exemple d'un CAA record est:

  • CAA 0 issue "symantec.com"
  • CAA 0 iodef "mailto:abuse@networking4all.com"
Une politique supplémentaire

Il est possible de régler une politique supplémentaire pour un nom de domaine. En cela vous pouvez indiquer que pour ce nom de domaine ou nom d'hôte seulement certificats SSL EV peut être émis. Ci-dessous un exemple dans lequel seulement certificats EV peut être émis par le CA DigiCert:

  • CAA 0 issue "digicert.com; policy=ev"
CAA records par CA

Ci-dessous les exemples de CAA record par CA:

  • TrustProviderBV
    • CAA 0 issue "trustproviderbv.digitalcertvalidation.com"
    • CAA 0 issuewild "trustproviderbv.digitalcertvalidation.com"
  • DigiCert
    • CAA 0 issue "digicert.com"
    • CAA 0 issuewild "digicert.com"
  • Symantec
    • CAA 0 issue "symantec.com"
    • CAA 0 issuewild "symantec.com"
  • GeoTrust
    • CAA 0 issue "geotrust.com"
    • CCAA 0 issuewild "geotrust.com"
  • Thawte
    • CAA 0 issue "thawte.com"
    • CAA 0 issuewild "thawte.com"
  • RapidSSL
    • CAA 0 issue "rapidssl.com"
    • CAA 0 issuewild "rapidssl.com"
  • GlobalSign
    • CAA 0 issue "globalsign.com"
    • CAA 0 issuewild "globalsign.com"
  • AlphaSSL
    • CAA 0 issue "globalsign.com"
    • CAA 0 issuewild "globalsign.com"