Blog GlobalSign

14 sept. 2017

Qu’est-ce que la CAA (autorisation d'autorité de certification) ?

À compter du 7 septembre 2017, les règles de base du CA/B Forum exigeront de toutes les autorités de certification (AC) qu’elles contrôlent les enregistrements de ressource CAA (autorisation d’autorité de certification) avant d’émettre des certificats. Aucune mise à jour n’est à prévoir pour les opérateurs de sites internet et administrateurs de noms de domaine pour respecter cette nouvelle exigence.

La CAA est une mesure de sécurité qui permet aux propriétaires d’un nom de domaine de préciser dans leur DNS (Domain Name System) les autorités de certification (AC) qui sont autorisées à émettre des certificats pour leur nom de domaine. Si une AC reçoit une commande de certificat pour un nom de domaine avec un enregistrement CAA et qu’elle ne fait pas partie des émetteurs autorisés, elle ne sera pas autorisée à émettre le certificat pour ce domaine ou tout sous-domaine.

Avantages de la CAA

L’un des avantages de la CAA est de renforcer la transparence des certificats. La politique de transparence des certificats fournit des mécanismes pour aider les propriétaires d’un nom de domaine à identifier les certificats non correctement émis ou fréquemment émis pour leurs domaines après l’émission du certificat. La CAA, elle, contribue à prévenir l’émission non autorisée en amont. Réunies, ces politiques forment un meilleur ensemble de mesures de sécurité qu’à elles seules.

La CAA peut aussi aider les entreprises qui ont standardisé ou souhaitent standardiser ou limiter les AC auxquelles elles ont recours. Avant la CAA, il n’y avait aucun moyen facile pour elles de faire appliquer ces politiques. Mais maintenant que les AC doivent vérifier les enregistrements CAA, elles les appliqueront plus efficacement.

Mise en œuvre de la CAA

Si le contrôle des enregistrements CAA est obligatoire pour les AC, l’utilisation de la CAA est facultative pour les propriétaires d’un nom de domaine. Vous pouvez décider de la mettre en œuvre ou non et, si vous le faites, vous pouvez spécifier plusieurs AC si vous le désirez (voir les mises en garde plus bas dans ce blog).

Voici les règles de traitement pour les AC :

  • Absence d’enregistrement CAA : l’AC peut émettre.
  • L’enregistrement CAA comprend une AC : l’AC peut émettre.
  • Existence d’un enregistrement CAA, mais sans AC : l’AC ne peut pas émettre.

La CAA prend en charge les propriétés ci-dessous :

  • Issue : autorise les AC à émettre des certificats (y compris des certificats wildcard, sauf restriction par Issuewild)
  • Issuewild : autorise les AC à émettre des certificats wildcard uniquement

Voici un exemple de code CAA que vous pourriez ajouter à votre fichier de zone DNS si vous vouliez autoriser GlobalSign à émettre des certificats pour example.com :

CAA 0 issue “globalsign.com”

Rappelez-vous, le contrôle CAA démarre avec le FQDN (Fullly Qualified Domain Name) et remonte jusqu’au nom de domaine de base. Par conséquent, lorsque l’AC validera le FQDN de www.us.example.com, elle vérifiera :

-          www.us.example.com, puis

-          us.example.com, puis

-          example.com

Pour obtenir des instructions détaillées sur la façon d’ajouter des enregistrements CAA, y compris les étapes pour un DNS hébergé, consultez notre article d’assistance à ce sujet.

Soyez prudent lors de la mise à jour CAA

Soyez très vigilant lorsque vous créez des enregistrements CAA. Si vous avez d’autres services qui obtiennent des certificats, vous devez les coordonner pour assurer que toutes les AC utilisées seront ajoutées à vos enregistrements CAA. Comme le contrôle CAA est obligatoire et aboutit à un rejet des commandes auquel une AC ne peut déroger, il est important que votre administrateur DNS ne porte pas préjudice à votre société. Et si vous faites appel à un prestataire de services pour l’une de vos solutions d’hébergement, il risque de sécuriser des serveurs avec une AC avec laquelle vous n’avez pas de relation directe. Alors faites preuve de prudence.

Si vous souhaitez faire une brève vérification, vous pouvez vous renseigner sur les certificats émis pour vos noms de domaine sur le site https://crt.sh/, qui produira une liste des AC émettrices pour ces noms de domaine. Ne vous tirez pas une balle dans le pied ! Procédez à des mises à jour bien informées des enregistrements CAA.

GlobalSign et la CAA

GlobalSign a commencé à appliquer la CAA le 28 août 2017.

Comme indiqué ci-dessus, nous avons élaboré plusieurs articles d’assistance pour vous aider dans sa mise en œuvre et vous permettre d’éviter les erreurs les plus courantes. Si vous avez d’autres questions sur la CAA, n’hésitez pas à nous contacter.

Partager ce blog