CAA Record Lookup : Controlez Qui Peut Emettre des Certificats pour Votre Domaine

CAA : le controle d'acces pour les certificats

Les enregistrements CAA (Certificate Authority Authorization, RFC 8659) permettent au proprietaire d'un domaine de specifier dans le DNS quelles Certificate Authorities (CA) sont autorisees a emettre des certificats SSL pour ce domaine. Depuis septembre 2017, toutes les CA publiques sont obligees de verifier les enregistrements CAA avant d'emettre un certificat. Si l'enregistrement CAA n'autorise pas la CA, l'emission est bloquee. Cela previent l'emission de certificats frauduleux par des CA compromises ou des erreurs de validation.

Sans enregistrements CAA, n'importe quelle CA au monde peut emettre un certificat pour votre domaine. Avec les environ 150 CA publiques existantes et des centaines de CA intermediaires, la surface d'attaque est enorme : il suffit de compromettre une seule CA (ou son processus de validation) pour obtenir un certificat frauduleux. Les enregistrements CAA reduisent drastiquement cette surface : si vous n'autorisez que Let's Encrypt, les 149 autres CA ne peuvent pas emettre de certificats pour vous, meme si elles sont compromises.

Configuration des enregistrements CAA

# Autorizza solo Let's Encrypt
esempio.com. IN CAA 0 issue "letsencrypt.org"

# Autorizza anche DigiCert per wildcard
esempio.com. IN CAA 0 issue "letsencrypt.org"
esempio.com. IN CAA 0 issuewild "digicert.com"

# Blocca tutte le CA (nessun certificato autorizzato)
esempio.com. IN CAA 0 issue ";"

# Notifica tentativi non autorizzati
esempio.com. IN CAA 0 iodef "mailto:security@esempio.com"

Trois tags sont disponibles : issue autorise une CA a emettre des certificats normaux, issuewild autorise l'emission de certificats wildcard (*.domaine.com), et iodef specifie ou envoyer les notifications de tentatives non autorisees. Si vous specifiez seulement issue sans issuewild, les wildcards heritent de la politique d'issue. Si vous voulez qu'une seule CA specifique puisse emettre des wildcards, utilisez issuewild explicitement.

Verification et maintenance

Utilisez notre CAA Record Lookup pour verifier les enregistrements CAA de votre domaine et vous assurer que les CA autorisees correspondent a celles que vous utilisez reellement. Avant de changer de CA (par exemple de Let's Encrypt a DigiCert), mettez a jour les enregistrements CAA a l'avance, sinon la nouvelle CA ne pourra pas emettre le certificat. Verifiez aussi SSL Check pour confirmer que le certificat actuel a ete emis par une CA autorisee.

Les enregistrements CAA sont herites par les sous-domaines : si exemple.com a un CAA, tous les sous-domaines sans leurs propres enregistrements CAA heritent de la politique du parent. Vous pouvez surcharger la politique pour des sous-domaines specifiques. Cette hierarchie est utile : vous pouvez autoriser Let's Encrypt pour le domaine principal et DigiCert pour un sous-domaine specifique qui necessite un certificat EV. Verifiez la chaine d'heritage avec DNS Lookup en verifiant les enregistrements CAA a chaque niveau.

Le tag iodef est souvent neglige mais tres utile : il vous avertit quand une CA refuse d'emettre un certificat pour votre domaine a cause des enregistrements CAA. Cela peut indiquer : une tentative d'emission frauduleuse (un attaquant essaie d'obtenir un certificat pour votre domaine), ou un probleme operationnel (votre equipe essaie d'utiliser une CA non autorisee). Dans les deux cas, la notification vous permet d'agir rapidement.