Lors de la demande d’un certificat SSL/TLS, de nombreux propriétaires de domaine sont surpris de voir leur demande rejetée. Même si leur DNS semble correct et que l’autorité de certification (CA) paraît fiable.
Dans beaucoup de ces cas, le problème est causé par un enregistrement CAA.
Cet article explique ce qu’est un enregistrement CAA, pourquoi il existe, et comment il peut affecter directement l’émission des certificats SSL, en termes simples pour vous aider à éviter les erreurs courantes.
Pourquoi un certificat SSL échoue-t-il même si tout semble correct ?
Les questions courantes que nous recevons de la part des propriétaires de domaine incluent :
-
"Ma demande SSL échoue constamment, que se passe-t-il ?"
-
"La CA dit que mon DNS bloque l’émission, mais je n’ai rien changé."
-
"Un enregistrement CAA est-il obligatoire ou facultatif ?"
Voici le point clé à comprendre dès le départ :
Si votre domaine a un enregistrement CAA qui n’autorise pas l’autorité de certification que vous utilisez, le certificat SSL ne peut pas être émis.
Ce comportement n’est pas facultatif. Il est imposé par les règles de l’industrie.
Qu’est-ce qu’un enregistrement CAA ?
Un enregistrement CAA (Certification Authority Authorization) est un enregistrement DNS qui spécifie quelles autorités de certification sont autorisées à émettre des certificats SSL/TLS pour votre domaine.
En termes simples : Un enregistrement CAA agit comme une liste blanche pour l’émission de certificats SSL.
Seules les autorités de certification explicitement listées dans votre enregistrement CAA sont autorisées à émettre des certificats pour votre domaine.
Que se passe-t-il si vous ne configurez pas d’enregistrement CAA ?
Ne pas avoir d’enregistrement CAA ne rend pas automatiquement votre site non sécurisé.
Cependant, sans enregistrement CAA :
-
Toute autorité de certification de confiance peut émettre un certificat pour votre domaine
-
Cela augmente le risque de mauvaise émission ou de certificats non autorisés
-
Vous avez moins de contrôle sur qui peut émettre des certificats en votre nom
À cause de ces risques, les autorités de certification sont désormais tenues de vérifier les enregistrements CAA avant d’émettre des certificats.
C’est là que vient la majorité des confusions.
Les scénarios d’échec les plus courants
-
Un enregistrement CAA existe, mais n’inclut pas la CA actuelle
-
issueest définie, maisissuewildest absente pour les certificats wildcard -
Un sous-domaine hérite d’un enregistrement CAA restrictif du domaine parent
-
Le propriétaire du domaine change de fournisseur de certificat mais oublie de mettre à jour le CAA
En conséquence, la CA est techniquement interdite d’émettre le certificat.
Les trois types principaux de tags CAA
issue
Autorise une CA à émettre des certificats SSL standard pour le domaine.
issuewild
Autorise une CA à émettre des certificats wildcard (par exemple, .example.com).
iodef
Spécifie où les rapports de violation doivent être envoyés si un certificat non autorisé est émis (optionnel).
Quand faut-il utiliser un enregistrement CAA et quand est-ce optionnel ?
Fortement recommandé
-
Sites web d’entreprise et d’affaires
-
Systèmes e-commerce, paiement ou d’authentification
-
Domaines qui dépendent d’une CA spécifique
Peut être optionnel
-
Environnements de test ou de préproduction
-
Projets temporaires ou expérimentaux
-
Sites où le contrôle de la source du certificat n’est pas critique
L’essentiel n’est pas de savoir si le CAA est « obligatoire », mais si vous comprenez les conséquences.
Comment configurer les enregistrements CAA en toute sécurité (sans interrompre le SSL)
Avant d’ajouter ou de modifier un enregistrement CAA, confirmez :
-
Quelle CA émet actuellement vos certificats
-
Si vous utilisez des certificats wildcard
-
Si vous pouvez changer de CA à l’avenir
Un enregistrement CAA mal configuré bloquera immédiatement l’émission de certificats SSL.
Pourquoi les enregistrements CAA existent-ils en premier lieu
Les enregistrements CAA ont été introduits pour rendre l’émission des certificats :
-
Plus transparente
-
Plus contrôlée par les propriétaires de domaine
-
Moins sujette aux erreurs ou abus accidentels
Ils sont conçus pour renforcer la sécurité, pas pour compliquer la gestion du SSL.
Les enregistrements CAA offrent aux propriétaires de domaine un contrôle sur qui peut émettre des certificats SSL pour leurs domaines.
Lorsqu’ils sont configurés correctement, ils améliorent la sécurité.Quand ils sont mal configurés, ils sont une cause fréquente d’échecs d’émission SSL.
Comprendre les enregistrements CAA vous aide à éviter la confusion, les retards et les demandes de support inutiles.
Gérer correctement le DNS et le SSL nécessite à la fois une clarté technique et une conformité aux politiques.
En tant que registrar accrédité par l’ICANN, , Nicenic suit des standards reconnus mondialement pour aider les propriétaires de domaine à gérer le DNS, la sécurité et les configurations liées aux certificats en toute confiance.
Nicenic est ce partenaire de confiance pour les marques, développeurs, entrepreneurs et entreprises du monde entier.
Actualités suivantes: Tout savoir sur la migration de domaine et les signaux SEO
