Qu’est-ce qu’un dossier CAA et comment fonctionne-t-il ?

Les sites web utilisent des certificats SSL émis par des autorités de certification (AC) de confiance pour protéger les informations sensibles des visiteurs. Ces entités tierces vérifient l’identité d’un site ou d’une entreprise avant de délivrer le certificat SSL. Cependant, toutes les autorités de certification ne sont pas égales et certaines d’entre elles peuvent ne pas répondre aux normes de sécurité élevées définies par le propriétaire du site web. C’est là que les résultats de la CAA entrent en ligne de compte.

Cet article traite du record CAA, de sa définition à son fonctionnement. Il explique également comment ajouter un enregistrement CA et pourquoi il est nécessaire d’en créer un.


Table des matières

  1. Qu’est-ce qu’un record CAA ?
  2. Exemple d’enregistrement DNS CAA
  3. Comment fonctionne un dossier CAA ?
  4. Comment ajouter un enregistrement CAA ?
  5. Pourquoi ajouter un enregistrement CAA dans le DNS ?

Qu’est-ce qu’un record CAA ?

Un enregistrement CAA (Certificate Authority Authorization) est un enregistrement DNS qui permet au propriétaire d’un site web de spécifier les autorités de certification (CA) autorisées à émettre des certificats SSL pour son domaine.

L’enregistrement CAA est un enregistrement textuel ajouté au fichier de zone DNS d’un site web. Il contient une ou plusieurs des informations suivantes : nom de domaine de l’émetteur, drapeau et étiquette.

L’ajout d’un enregistrement DNS CAA est une mesure de sécurité supplémentaire qui améliore la fiabilité des certificats SSL en empêchant l’émission de certificats non autorisés ou frauduleux.


Exemple d’enregistrement DNS CAA

Voici à quoi ressemblerait un enregistrement CAA pour SSL Dragon dans un serveur DNS :

ssldragon.com . Numéro CAA 0 “digicert.com”

Dans cet exemple, seule DigiCert est autorisée à émettre des certificats numériques pour ce domaine. Les autres autorités de certification doivent se conformer à cette commande sous peine de ne pas être fiables. En tant que propriétaire du domaine, vous pouvez décider du nombre d’autorités de certification qui peuvent émettre des certificats SSL pour votre site et même spécifier le type de certificat.

Voici un exemple d’enregistrement CAA pour les certificats de type “wildcard” :

ssldragon.com. CAA 0 issuewild “sectigo.com”

Dans ce cas, seule Sectigo peut émettre des certificats wildcard pour ssldragon.com. Conformément au vote 187 du CA/Browser Forum, les autorités de certification doivent vérifier les enregistrements CAA avant de délivrer un certificat SSL.

Maintenant que vous savez ce qu’est un enregistrement CA, il est temps de vous plonger dans son fonctionnement.


Comment fonctionne un dossier CAA ?

Prenons chaque élément d’un record de la CAA et décomposons-le. Nous utiliserons le même exemple hypothétique pour le site web SSL Dragon, et un enregistrement CAA réel de Google.com. Vous pouvez le vérifier vous-même à l’aide de l’outil de vérification du DNS.

ssldragon.com. Numéro CAA 0 “digicert.com”

L’enregistrement CAA ci-dessus comprend les parties suivantes :

  • ssldragon.com – le domaine que vous voulez sécuriser
  • CAA – le type d’enregistrement
  • 0 – drapeau
  • question – étiquette
  • Digicert.com – l’autorité de certification autorisée à émettre des certificats numériques pour ce domaine particulier.
SSL Site web du dragon CAA

L’exemple de Google contient également l’attribut TTL. Nous allons décortiquer les balises, les drapeaux, les valeurs et le TTL ci-dessous :


Drapeaux

Un drapeau peut avoir l’un des deux états spécifiques suivants : 1 (critique) ou 0 (non critique), ce dernier étant la valeur par défaut.

  • Le drapeau 1 indique à l’autorité de certification qu’elle ne peut pas délivrer le certificat si elle ne comprend pas la propriété et qu’elle doit informer le propriétaire du domaine par courrier électronique de l’échec de la vérification de l’enregistrement CAA.
  • L’indicateur 0 indique à l’autorité de certification qu’elle peut utiliser n’importe quelle information d’enregistrement CAA dans la zone DNS. S’il ne comprend pas cet enregistrement, il peut en utiliser un autre dans le fichier de zone DNS.

Étiquettes

Une balise détermine l’action qu’une autorité de certification autorisée peut effectuer lors de la délivrance de certificats numériques. Les trois balises définies dans la norme proposée sont issue, issuewild et iodef. Toutefois, les AC peuvent également créer leurs propres étiquettes pour faciliter le processus de délivrance des certificats.

  • La balise issue autorise une autorité de certification particulière à émettre des certificats ordinaires, sans caractères génériques, pour le domaine spécifié et tous ses sous-domaines.
  • La balise issuewild autorise une autorité de certification particulière à émettre des certificats génériques pour le domaine en question.
  • La balise iodef (incident object description exchange format) informe le propriétaire du domaine par courrier électronique lorsqu’une demande de certificat ne passe pas le contrôle CAA. Voici comment la syntaxe devrait se présenter pour la propriété iodef : ssldragon.com. CAA 0 iodef “mailto:[email protected].

Le TTL (time to live) est la période en secondes pendant laquelle un serveur doit mettre en cache votre enregistrement CAA.


Comment ajouter un enregistrement CAA ?

Maintenant que vous connaissez les éléments d’un record CAA, créons le vôtre. Il existe de nombreuses façons de créer un enregistrement de certificat CAA pour votre domaine, mais nous nous concentrerons sur les deux plus courantes.

Comment ajouter un enregistrement CAA sur votre serveur DNS ?

Si vous utilisez votre propre serveur DNS, vous pouvez créer votre enregistrement CAA directement dans le fichier DNS BIND.

  1. Utilisez un éditeur de texte tel que Notepad pour ouvrir le fichier DNS de votre domaine.
  2. Ajoutez ou mettez à jour les informations de l’enregistrement DNS CAA dans ce fichier. Utilisez l’exemple de l’enregistrement CAA que nous avons fourni précédemment. Inclure les drapeaux, les étiquettes, la valeur, etc.
  3. Enregistrez le fichier de zone avec votre nouvelle configuration.

Comment ajouter un enregistrement CAA dans cPanel ?

Si vous souhaitez ajouter un enregistrement CAA via votre panneau d’hébergement, voici comment procéder :

  1. Connectez-vous à votre compte cPanel
  2. Dans la section Domaines, cliquez sur Éditeur de zone
  3. A côté du domaine pour lequel vous souhaitez créer un enregistrement CAA, cliquez sur Gérer.
  4. Dans la page de l’éditeur de zone, recherchez le bouton Ajouter un enregistrement et développez-le. Dans la liste déroulante, sélectionnez Ajouter un enregistrement “CAA”.
  5. Vous devez maintenant remplir les champs obligatoires :
    • Le nom du domaine ou du sous-domaine pour lequel vous souhaitez ajouter un enregistrement CAA
    • Le type d’enregistrement (CAA)
    • Le drapeau (0 ou 1)
    • L’étiquette (issue, issuewild, iodef)
    • La valeur (le nom de domaine de l’autorité de certification autorisée)
  6. Cliquez sur Ajouter un enregistrement pour terminer votre configuration.

Pourquoi ajouter un enregistrement CAA dans le DNS ?

Vous devriez maintenant être un expert en matière de dossiers CAA. Mais votre site web en a-t-il besoin ?

Nous avons énuméré ci-dessous quelques raisons pour lesquelles vous pourriez envisager de configurer un enregistrement CA pour votre domaine :

  1. Amélioration de la sécurité du site web. En limitant le nombre d’autorités de certification qui peuvent émettre des certificats pour votre domaine, vous réduisez le risque qu’un attaquant malveillant obtienne un certificat frauduleux pour votre site web.
  2. Conformité aux normes de l’industrie. La mise en place d’enregistrements DNS CAA fait partie des meilleures pratiques du secteur. Le CA/Browser Forum et le PCI Security Standards Council recommandent d’ajouter des enregistrements DNS CA et envisagent de les rendre obligatoires afin de réduire les menaces qui pèsent sur la sécurité du web.
  3. Réduction des risques opérationnels. En spécifiant les AC autorisées à émettre des certificats pour votre domaine, vous pouvez réduire le risque d’erreurs opérationnelles et de mauvaises configurations susceptibles d’entraîner des failles de sécurité ou l’indisponibilité du site web.
  4. Validation SSL plus rapide. Les enregistrements CAA peuvent réduire le temps de validation SSL. Lorsqu’une AC reçoit une demande de certificat pour un domaine, elle doit vérifier si un enregistrement de ressource CAA existe et si l’AC demandée est autorisée à émettre des certificats pour ce domaine. Le fait de fournir ces informations à l’avance peut accélérer le processus de validation.
  5. Protection de la marque. Les enregistrements CAA peuvent protéger la réputation de votre marque en empêchant la délivrance frauduleuse de certificats et en bloquant les attaques de phishing ou d’autres activités malveillantes susceptibles de nuire à la réputation de votre marque.

Réflexions finales

Les certificats SSL sont désormais un élément essentiel de tout site web. Bien que la rupture du cryptage HTTPS soit hors de portée de l’homme, les cyber-attaquants sont toujours à la recherche de moyens astucieux pour compromettre votre nom.

Heureusement, les enregistrements CAA constituent une autre excellente mesure de sécurité pour protéger l’identité de votre marque. Les enregistrements CAA vous permettent de contrôler entièrement le processus de délivrance des certificats.

Economisez 10% sur les certificats SSL en commandant aujourd’hui!

Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10

Rédigé par

Rédacteur de contenu expérimenté spécialisé dans les certificats SSL. Transformer des sujets complexes liés à la cybersécurité en un contenu clair et attrayant. Contribuer à l'amélioration de la sécurité numérique par des récits percutants.