Note de l'éditeur : ce blog a été initialement publié en août 2017. Il a récemment été mis à jour pour refléter la ligne directrice RFC 1912 pour les enregistrements CNAME.
La CAA est une mesure de sécurité qui permet aux propriétaires de domaines de spécifier dans leurs serveurs de noms de domaine (DNS) quelles sont les CA autorisées à émettre des certificats pour ce domaine. Si une autorité de certification reçoit une commande de certificat pour un domaine avec un enregistrement CAA et que cette autorité de certification n'est pas répertoriée comme un émetteur autorisé, il lui est interdit d'émettre le certificat pour ce domaine ou tout sous-domaine.
Avantages de la CAA
L'un des avantages de la CAA est de compléter la transparence des certificats (CT). La CT fournit des mécanismes pour aider les propriétaires de domaines à identifier les certificats émis à tort ou fréquemment émis pour leurs domaines, après l'émission, tandis que la CAA peut aider à prévenir l'émission non autorisée avant les faits. Ensemble, ils constituent un meilleur ensemble de sécurité que chacun d'eux pris séparément.
La CAA peut également aider les organisations qui ont normalisé, ou qui veulent normaliser ou limiter les CA qu'elles utilisent. Avant la mise en œuvre de la CAA, il n'y avait pas de moyen facile pour les organisations d'appliquer ce type de politique, mais maintenant que tous les AC doivent vérifier les enregistrements de la CAA, ces politiques peuvent être appliquées par les AC.
Mise en œuvre de la CAA
Si la vérification des enregistrements CAA est obligatoire pour les CA, l'utilisation de la CAA est facultative pour les propriétaires de domaines. Vous pouvez décider vous-même si vous souhaitez la mettre en œuvre et, si vous décidez de le faire, vous pouvez spécifier plusieurs CA si vous le souhaitez (voir les mises en garde plus loin dans ce blog).
Voici les règles de traitement pour les CA :
- Pas d'enregistrement CAA : L'CA peut émettre.
- L'enregistrement CAA inclut l'CA : l'CA peut émettre.
- Un enregistrement CAA, mais qui n'inclut pas de CA : le CA ne peut pas émettre.
La CAA prend en charge les propriétés suivantes :
- Délivrance : Permet aux CA de délivrer des certificats (y compris des certificats de type "wildcard", à moins que cela ne soit restreint par Issuewild).
- Issuewild : Permet aux AC d'émettre un certificat de type wildcard, mais pas les certificats de type non-wild.
Voici un exemple du code CAA que vous ajouteriez à votre fichier de zone DNS si vous vouliez autoriser GlobalSign à émettre des certificats pour exemple.com :
CAA 0 émission "globalsign.com"
N'oubliez pas que la vérification de la CAA commence par le FQDN complet et remonte jusqu'au domaine de base. Ainsi, lors de la validation du FQDN de www.us.example.com, l'AC vérifiera :
- www.us.example.com, then
- us.example.com, then
- example.com.
Pour des instructions détaillées sur la façon d'ajouter des enregistrements CAA, y compris les étapes pour un DNS hébergé, veuillez consulter notre article de support connexe.
Remarque sur les CNAME :
Conformément à la RFC 1912, un enregistrement CNAME n'est pas autorisé à coexister avec d'autres données. Lorsque nous recherchons des enregistrements CAA, nous suivons les règles ci-dessus en partant du FQDN et en remontant la chaîne, mais si nous rencontrons un enregistrement CNAME, nous ignorons les enregistrements DNS TXT et CAA pour ce domaine. Au lieu de chercher un enregistrement CAA sur le nom de domaine fourni, nous chercherons des enregistrements CAA sur le domaine vers lequel pointe le CNAME.
Soyez prudent lors de la mise à jour du CAA
Faites preuve de prudence lorsque vous créez des enregistrements CAA. Si d'autres services obtiennent des certificats, vous devez vous coordonner pour vous assurer que toutes les AC utilisées seront ajoutées à vos enregistrements CAA. Étant donné que la vérification de la CAA est obligatoire et qu'elle entraîne le rejet des commandes qu'une AC ne peut pas annuler, il est important que l'administrateur DNS ne pénalise pas l'entreprise ! De plus, si vous utilisez un fournisseur de services pour l'une de vos solutions d'hébergement, il se peut qu'il sécurise ces serveurs avec une autorité de certification avec laquelle vous n'avez pas de relation directe, alors soyez prudent.
Pour une vérification rapide, vous pouvez demander les certificats émis pour vos domaines en utilisant https://crt.sh/ qui renverra une liste des AC émettrices pour ce domaine. Ne vous tirez pas une balle dans le pied, effectuez des mises à jour judicieuses des enregistrements CAA !
GlobalSign et la CAA
GlobalSign a commencé à appliquer la CAA le 28 août 2017.
Comme mentionné ci-dessus, nous avons créé quelques articles de soutien pour aider à la mise en œuvre et aborder certaines erreurs courantes. Si vous avez des questions supplémentaires sur la CAA, n'hésitez pas à nous contacter.
