CAA DNS Record

Controlez qui peut emettre des certificats pour votre domaine.

Les enregistrements CAA (Certification Authority Authorization) permettent de specifier quelles autorites de certification sont autorisees a emettre des certificats SSL pour votre domaine.

Depuis 2017, les CA sont obligees de verifier les records CAA avant d'emettre un certificat. C'est une couche de securite supplementaire contre les emissions frauduleuses.

Ce guide explique comment configurer et maintenir vos enregistrements CAA.

Comprendre CAA

Fonctionnement des enregistrements CAA :

  • issue : specifie les CA autorisees a emettre des certificats standards.
  • issuewild : specifie les CA autorisees a emettre des certificats wildcard.
  • iodef : email ou URL pour recevoir les rapports de violation.
  • Absence : sans CAA, toutes les CA sont autorisees par defaut.

Avantages de CAA

Pourquoi configurer des records CAA :

  • Controle strict : seules les CA specifiees peuvent emettre des certificats.
  • Protection : empeche les emissions par des CA compromises ou non autorisees.
  • Conformite : demonstre une gouvernance securitaire pour les audits.
  • Alertes : avec iodef, soyez notifie des tentatives non autorisees.

Configurer CAA

Etapes pour mettre en place les records CAA :

  1. Identifier vos CA : listez les CA que vous utilisez (Let's Encrypt, DigiCert, etc.).
  2. Creer les records : ajoutez les enregistrements CAA dans votre zone DNS.
  3. Tester : verifiez que les records sont corrects avec dig ou nslookup.
  4. Maintenir : mettez a jour si vous changez de CA.

Exemples de Records CAA

Configuration typique :

# Autoriser Let's Encrypt et DigiCert
example.com.  CAA 0 issue "letsencrypt.org"
example.com.  CAA 0 issue "digicert.com"

# Autoriser uniquement Let's Encrypt pour les wildcards
example.com.  CAA 0 issuewild "letsencrypt.org"

# Bloquer toutes les emissions wildcard
example.com.  CAA 0 issuewild ";"

# Recevoir des rapports de violation
example.com.  CAA 0 iodef "mailto:[email protected]"

# Verification avec dig
dig CAA example.com

Le flag 0 indique que l'enregistrement n'est pas critique. 128 le rendrait critique.

Bonnes Pratiques CAA

Conseils pour une configuration optimale :

  • Listez toutes vos CA : n'oubliez pas les certificats internes ou de test.
  • Configurez iodef : soyez notifie des tentatives non autorisees.
  • Testez avant mise en prod : assurez-vous que vos renouvellements fonctionnent.
  • Documentez : maintenez une documentation des CA autorisees et pourquoi.

Checklist CAA

  • CA actuelles identifiees
  • Records issue configures
  • Records issuewild si applicable
  • iodef configure
  • Records verifies avec dig
  • Renouvellements testes

Questions Frequentes

Que se passe-t-il sans CAA ?

Toutes les CA sont autorisees par defaut a emettre des certificats pour votre domaine.

CAA bloque-t-il les attaques ?

Il empeche les emissions par des CA non autorisees. Contre les CA compromises, combinez avec CT.

Dois-je configurer issuewild separement ?

Oui, issue et issuewild sont independants. Sans issuewild, les wildcards suivent issue.

Les CA verifient-elles vraiment ?

Oui, c'est obligatoire depuis septembre 2017 (CA/B Forum).

CAA fonctionne-t-il avec les sous-domaines ?

Les sous-domaines heritent des CAA du parent s'ils n'en ont pas. Vous pouvez les override.

Comment savoir si ma CA est compatible ?

Toutes les CA publiques sont obligees de verifier CAA. Consultez leur documentation pour le nom exact.

CAA : Premiere Ligne de Defense

Les enregistrements CAA sont une mesure simple mais efficace pour controler l'emission de certificats pour vos domaines.

Combinez CAA avec Certificate Transparency et la surveillance MoniTao pour une securite SSL complete.

Liens utiles

Prêt à dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs