Enregistrement CAA : Contrôlez Vos Certificats SSL

Définissez quelles autorités de certification sont autorisées à émettre des certificats pour votre domaine.

Les enregistrements CAA (Certification Authority Authorization) permettent aux propriétaires de domaine de spécifier quelles autorités de certification (CA) sont autorisées à émettre des certificats SSL/TLS pour leur domaine. C'est une couche de sécurité supplémentaire qui empêche l'émission de certificats non autorisés, même si un attaquant parvient à tromper une CA.

Depuis septembre 2017, toutes les autorités de certification sont obligées de vérifier les enregistrements CAA avant d'émettre un certificat. Si un CAA existe et que la CA n'y figure pas, elle doit refuser l'émission. C'est un mécanisme de défense en profondeur contre les attaques de type BGP hijacking ou compromission de CA.

Les CAA sont particulièrement importants pour les organisations soucieuses de la sécurité : banques, e-commerce, gouvernements. Ils permettent aussi de recevoir des rapports quand une émission est refusée, alertant sur des tentatives potentielles de compromission.

Qu'est-ce qu'un Enregistrement CAA ?

Les enregistrements CAA contiennent des directives pour les autorités de certification :

  • Tag issue : Autorise une CA spécifique à émettre des certificats standard pour ce domaine. Exemple : issue "letsencrypt.org" autorise uniquement Let's Encrypt.
  • Tag issuewild : Contrôle l'émission de certificats wildcard (*.domaine.com). Si absent, les règles "issue" s'appliquent. Si présent avec ";", interdit les wildcards.
  • Tag iodef : Définit où envoyer les rapports d'incidents (tentatives d'émission refusées). Utilisez une URL mailto: ou https: pour recevoir ces alertes.
  • Flags : Un champ numérique (généralement 0). Le flag 128 (critical) indique que la CA doit comprendre ce tag ou refuser l'émission.

Pourquoi Configurer des CAA

Les enregistrements CAA apportent une sécurité supplémentaire cruciale :

  • Prévention des erreurs : Empêche l'émission accidentelle de certificats par une CA que vous n'utilisez pas, suite à une erreur humaine ou une procédure mal suivie.
  • Protection contre les attaques : Même si un attaquant prouve le contrôle du domaine à une CA, celle-ci refusera si elle n'est pas dans les CAA. Défense en profondeur.
  • Alertes de sécurité : Le tag iodef permet de recevoir des notifications lors de tentatives d'émission refusées, signalant une activité suspecte.
  • Conformité : Certaines politiques de sécurité et certifications (comme PCI DSS) recommandent ou exigent l'utilisation de CAA pour les domaines critiques.

Configurer vos Enregistrements CAA

Suivez ces étapes pour mettre en place les CAA :

  1. Identifiez vos CA : Listez toutes les autorités de certification que vous utilisez actuellement (Let's Encrypt, DigiCert, Sectigo, etc.) et vérifiez leur identifiant CAA dans leur documentation.
  2. Créez les enregistrements issue : Ajoutez un CAA avec tag "issue" pour chaque CA autorisée. Si vous n'utilisez qu'une seule CA, c'est encore plus simple.
  3. Configurez issuewild si nécessaire : Si vous utilisez des certificats wildcard, ajoutez des enregistrements "issuewild". Sinon, ajoutez issuewild ";" pour les interdire explicitement.
  4. Ajoutez iodef pour les alertes : Configurez un enregistrement iodef pointant vers une adresse email ou URL de webhook pour recevoir les rapports d'incidents.

Exemples d'Enregistrements CAA

Voici des configurations CAA courantes :

; Autoriser uniquement Let's Encrypt
example.com.    CAA    0 issue "letsencrypt.org"
example.com.    CAA    0 issuewild ";"
example.com.    CAA    0 iodef "mailto:[email protected]"

; Autoriser plusieurs CA
example.com.    CAA    0 issue "letsencrypt.org"
example.com.    CAA    0 issue "digicert.com"
example.com.    CAA    0 issue "sectigo.com"
example.com.    CAA    0 issuewild "letsencrypt.org"

; Interdire tous les certificats (domaine non utilisé pour web)
parked-domain.com.    CAA    0 issue ";"

; Vérification avec dig
$ dig CAA example.com +short
0 issue "letsencrypt.org"
0 issuewild ";"
0 iodef "mailto:[email protected]"

Le symbole ";" dans issue ou issuewild signifie "aucune CA autorisée". C'est utile pour interdire complètement les wildcards ou pour des domaines qui ne devraient jamais avoir de certificat.

Bonnes Pratiques CAA

Optimisez votre configuration CAA pour une sécurité maximale :

  • Commencez restrictif : N'autorisez que les CA que vous utilisez réellement. Ajouter une CA est facile, mais une configuration trop permissive réduit la protection.
  • Configurez iodef : Toujours ajouter un enregistrement iodef. C'est votre seul moyen de savoir si quelqu'un tente d'obtenir des certificats non autorisés.
  • Gérez les sous-domaines : Les CAA s'héritent. Un CAA sur example.com s'applique aussi à *.example.com. Créez des CAA spécifiques pour les sous-domaines si nécessaire.
  • Documentez vos CA : Maintenez une liste à jour des CA autorisées et pourquoi. Facilitez les audits et les changements de CA.

Checklist Configuration CAA

  • Liste des CA utilisées établie
  • Enregistrements issue créés pour chaque CA
  • issuewild configuré (autoriser ou interdire)
  • iodef configuré pour les alertes
  • Test d'émission de certificat réussi
  • Documentation des CA autorisées mise à jour

FAQ - Enregistrements CAA

Que se passe-t-il si je n'ai pas de CAA ?

Sans CAA, toute CA peut émettre des certificats pour votre domaine. C'est le comportement par défaut mais moins sécurisé.

Les CAA affectent-ils le renouvellement automatique ?

Non, si la CA est autorisée dans vos CAA, le renouvellement fonctionne normalement. Assurez-vous juste que votre CA est bien listée.

Puis-je avoir plusieurs enregistrements issue ?

Oui, vous pouvez autoriser plusieurs CA. Chaque CAA avec tag "issue" ajoute une CA à la liste des autorisées.

Les CAA s'appliquent-ils aux sous-domaines ?

Oui, par héritage. Un CAA sur example.com s'applique à tous les sous-domaines, sauf s'ils ont leurs propres CAA.

Comment tester ma configuration CAA ?

Utilisez dig CAA votredomaine.com, ou des outils en ligne comme SSL Labs, CAA Test, ou le validateur de votre CA.

MoniTao surveille-t-il les CAA ?

Oui, MoniTao surveille vos enregistrements DNS incluant les CAA. Vous êtes alerté si vos CAA changent de manière inattendue.

Sécurisez l'Émission de Vos Certificats

Les enregistrements CAA sont une protection simple mais efficace contre les émissions de certificats non autorisées. En quelques enregistrements DNS, vous réduisez significativement le risque de compromission.

Configurez vos CAA dès aujourd'hui, limitez les CA autorisées au strict nécessaire, et activez les alertes iodef. MoniTao surveille vos CAA et vous alerte de tout changement suspect.

Liens utiles

Prêt à dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs