Contrôle de l'enregistrement de ressource DNS CAA

Les autorités de certification vérifient les enregistrements de ressources CAA avant de délivrer un certificat

Avant qu'une autorité de certification (AC) puisse émettre un certificat SSL/TLS pour votre domaine, elle a pour obligation de vérifier, traiter et respecter les enregistrements de ressources (resource records, ou RR) d’autorisation d'autorité de certification (certification authority authorization ou CAA) du domaine. (consultez les pages Vote 125 – enregistrements CAA[PASSED], RFC 6844, et Vote 219 : Rationaliser le traitement des ensembles d’enregistrements CAA sans balise de propriété "issue"/"issuewild".)

Les enregistrements de ressources CAA ne sont PAS OBLIGATOIRES pour permettre à DigiCert de vous livrer les certificats SSL/TLS pour vos domaines. Les informations fournies ici ne sont importantes que si vous vous trouvez dans l'une des situations suivantes :

  • Vous avez déjà mis en place des enregistrements de ressources CAA pour vos domaines.
  • Vous souhaitez ajouter des enregistrements de ressources CAA pour vos domaines.

Pour obtenir davantage d'informations sur les avantages de la CAA, consultez la page Avantages de la CAA en matière de sécurité.

Comment fonctionne le processus de contrôle des enregistrements de ressource CAA

Avant l'émission d'un certificat SSL/TLS pour votre domaine, une AC (telle que DigiCert) vérifie les enregistrements de ressource CAA pour déterminer si elle peut émettre un certificat pour votre domaine. Les AC peuvent émettre des certificats pour votre domaine si l’une des conditions suivantes est remplie :

  • Lorsqu’une AC ne trouve aucun enregistrement de ressource CAA pour votre domaine.
  • Lorsqu’une AC trouve un enregistrement de ressource CAA pour votre domaine qui les autorise à délivrer ce type de certificat pour celui-ci.
  • Lorsqu’une AC trouve un enregistrement de ressource CAA pour votre domaine et ne trouve pas de balises de propriété "issue" ou "issuewild".

Pouvoir d'un seul enregistrement de ressource CAA

Après avoir créé un enregistrement de ressource CAA (RR) pour autoriser DigiCert à émettre des certificats SSL/TLS pour un domaine, vous avez effectivement exclu toutes les autres autorités de certification (CA) de l'émission d'un certificat pour ce domaine. Le seul moyen d'autoriser une autre AC à délivrer des certificats pour ce domaine est de créer un autre enregistrement de ressource CAA pour cette AC.

Si aucun enregistrement de ressource CAA n'existe pour le domaine, cela signifie que n'importe quelle CA peut émettre tous les types de certificats SSL/TLS pour le domaine.

Si vous détenez un enregistrement de ressource CAA pour le domaine, cela signifie qu'une AC doit trouver un enregistrement de ressource CAA qui l'autorise à émettre un certificat SSL/TLS pour le domaine. Lorsque vous créez votre premier enregistrement de ressource CAA pour un domaine, il est important de comprendre que vous devez maintenant créer suffisamment de politiques pour ce domaine afin de répondre aux exigences de votre organisation en matière de certificats SSL/TLS.

De cette façon, les enregistrements des ressources CAA permettent un contrôle précis de l'émission des certificats pour le domaine. Ce contrôle peut être utilisé pour empêcher des autorités de certification non autorisées de délivrer des certificats pour votre domaine.

Autorisation de l'AC pour les certificats de marque DigiCert, Symantec, Thawte, GeoTrust, RapidSSL

Avec l'acquisition de la sécurité des sites web de Symantec et des solutions PKI associées, DigiCert a rassemblé les principales marques de certificats du secteur sous une seule autorité de certification - DigiCert. Lorsque vous créez un enregistrement de ressource CAA pour votredomaine.com et que vous autorisez DigiCert à émettre des certificats SSL/TLS pour ce domaine (yourdomain CAA 0 issue "digicert.com"), vous autorisez DigiCert à émettre des certificats SSL/TLS de marque DigiCert, Symantec, Thawte, GeoTrust et RapidSSL pour ce domaine.

Il en va de même lorsque vous créez un enregistrement de ressource CAA et que vous autorisez Symantec à émettre des certificats SSL/TLS pour votredomaine.com (yourdomain CAA 0 issue "symantec.com"). Cet enregistrement unique permet à DigiCert d'émettre des certificats SSL/TLS de marque DigiCert, Symantec, Thawte, GeoTrust et RapidSSL pour ce domaine.

Valeurs valides des enregistrements de ressources CAA

La liste ci-dessous contient des valeurs d'enregistrement de ressource CAA valides que vous pouvez actuellement utiliser dans vos enregistrements CAA pour autoriser DigiCert à émettre votre certificat SSL/TLS

  • digicert.com
  • www.digicert.com
  • digicert.ne.jp
  • cybertrust.ne.jp
  • symantec.com
  • thawte.com
  • geotrust.com
  • rapidssl.com

Toutes les valeurs indiquées sont équivalentes. En d'autres termes, vous pouvez utiliser n'importe laquelle des valeurs pour permettre à DigiCert d'émettre des certificats SSL/TLS pour toutes les marques de certificats DigiCert, les portails, les produits, etc.

Vérifiez que vos enregistrements de ressource CAA sont correctement configurés

Avez-vous ou prévoyez-vous de créer des enregistrements de ressource DNS CAA pour vos domaines ? Assurez-vous que vos enregistrements sont à jour et corrects.

Chez DigiCert, nous vous recommandons de vérifier vos enregistrements de ressource DNS CAA existants avant de commander des certificats SSL/TLS correspondants. Vérifiez que vous disposez des enregistrements nécessaires pour chaque AC autorisée à émettre des certificats SSL/TLS pour vos domaines. Nous recommandons également à ceux qui créent de nouveaux enregistrements de ressource DNS CAA de prendre connaissance du fonctionnement du processus. Assurez-vous qu'aucun enregistrement de ressource CAA mal configuré ne pas bloque involontairement l’émission de certificat par une AC requis dans les plus brefs délais.

Consultez la page Comment modifier l'enregistrement de ressource DNS CAA d'un domaine pour obtenir des marques de certificats DigiCert.

Qu'est-ce qu'un enregistrement de ressource DNS CAA ?

Les enregistrements de ressources (RR) d'autorisation d'autorité de certification (CAA) permettent aux propriétaires de domaines de créer des politiques qui autorisent des autorités de certification (AC) spécifiques à émettre des certificats SSL pour leurs domaines associés. Les propriétaires de domaines peuvent utiliser les enregistrements de ressources CAA pour créer des politiques de sécurité pour l’intégralité du domaine (par ex., exemple.com) ou pour un nom d'hôte spécifique (par ex., mail.exemple.com).

Lorsque vous créez un enregistrement de ressource CAA pour votre domaine de base, vous créez essentiellement une politique générale pour ses sous-domaines au sein de cette politique, à moins que vous ne créiez un enregistrement de ressource CAA distinct pour un sous-domaine spécifique. Vous détenez un enregistrement de ressource CAA par exemple.com) mais vous souhaitez créer une politique de sécurité différente pour mail.exemple.com ? Créez un enregistrement de ressource CAA supplémentaire spécifiquement pour le sous-domaine mail.

Une fois cet enregistrement créé, lorsque vous commandez un certificat SSL/TLS pour mail.exemple.com, l'autorité de certification interroge votre DNS pour obtenir des enregistrements de ressource CAA pour ce sous-domaine. Si l'AC trouve un enregistrement pour mail.exemple.com, la recherche s'arrête et l'AC applique cette politique à la commande de certificat. Si l'autorité de certification ne trouve pas d'enregistrement pour mail.exemple.com, elle poursuit sa recherche DNS pour les enregistrements CAA dans son domaine parent, exemple.com. Si l'AC trouve un enregistrement pour le site exemple.com, elle applique alors la politique du domaine parent à la commande de certificat pour mail.exemple.com.

Syntaxe de l'enregistrement de ressource DNS CAA

Un enregistrement de ressources (RR) d'autorisation d'autorité de certification (CAA) se compose d'un indicateur à un octet et d'une paire de valeurs de balises appelée propriété (RFC 6844 sections 3, 5.1). L'indicateur est un nombre entier non assigné compris entre 0 et 255. L'indicateur dans la paire balise-valeur peut être constitué de lettres et de chiffres US-ASCII, tandis que la valeur est une chaîne d'octets représentant la valeur de la propriété balise-valeur.

Balises de propriété de l'enregistrement de ressource CAA

Vous pouvez associer plusieurs propriétés au même domaine en publiant plusieurs enregistrements de ressource CAA pour ce nom de domaine. Cependant, chaque enregistrement de ressource CAA ne peut autoriser qu'une seule AC à délivrer des certificats (ou dans certains cas un seul type de certificat) pour votre domaine.

Pour permettre à plusieurs AC de délivrer des certificats pour votre domaine, vous devez créer au moins un enregistrement enregistrement de ressource CAA pour chaque AC (et dans certains cas deux enregistrements de ressource CAA). Pour obtenir de l'aide sur la configuration de vos enregistrements CAA, visitez la page Aide à l'enregistrement CAA (CAA Record Helper).

"balise de propriété" issue

Utilisez cette balise de propriété pour autoriser une AC (telle que DigiCert) à n'émettre que des certificats à caractère générique pour un domaine. Lors du traitement d'une commande de certificat à caractère générique pour *.votredomaine, l'autorité de certification interroge le DNS du domaine pour trouver les enregistrements CAA contenant la balise de propriété "issuewild". Lorsque l'AC trouve une balise de propriété "issuewild", tous les enregistrements de ressource CAA contenant la balise de propriété "issuewild" pour ce domaine sont ignorés. Pour autoriser d'autres AC à n'émettre que des certificats à caractère générique pour le même domaine, vous devez créer un enregistrement de ressource CAA unique pour chaque AC.

generic
yourdomain CAA 0 issuewild "digicert.com"

Comment fonctionne"la propriété" issuewild

La balise de propriété "issuewild" autorise une AC à ne délivrer que des certificats à caractère générique pour un domaine (*.domaine.com, *.sous.domaine.com, *.sous.sous.domaine.com, etc.). Elle n'autorise pas une AC à émettre des certificats non génériques pour un domaine (domaine.com, sous.domaine.com, sous.sous.domaine.com, etc.).

Utilisation de"la propriété" issue

Lorsqu'elle est utilisée correctement, la propriété "issuewild" peut être un outil efficace pour créer des politiques de délivrance de certificats à caractère générique.

Par exemple, vous créez trois enregistrements de ressources CAA "issue" pour votre domaine. Par la suite, vous décidez que vous ne souhaitez qu'un seul de ces AC émette des certificats à caractère générique pour votre domaine. Vous créez donc un enregistrement de ressource CAA "issuewild" autorisant cette AC à émettre des certificats à caractère générique *.votredomaine. Les trois AC peuvent continuer à délivrer des certificats non génériques pour votre domaine, mais une seule AC peut désormais délivrer des certificats à caractère générique pour votre domaine.

Autoriser DigiCert à émettre des certificats à caractère générique pour un domaine

Lorsque vous commandez un certificat à caractère générique pour *.votredomaine, DigiCert inclut votredomaine dans le certificat sans frais supplémentaires. Cette procédure pose un problème lorsque vous créez des enregistrements de ressources CAA "issuewild" (yourdomain CAA 0 issuewild "digicert.com") pour autoriser DigiCert à n'émettre que des certificats à caractère générique pour votre base et vos sous-domaines.

Étant donné que nous incluons votre domaine (ou mail.votredomaine) avec votre commande de certificat à caractère générique pour *.votredomaine (ou *.mail.votredomaine), vous devez utiliser l'une des options ci-dessous pour que nous puissions vous émettre votre certificat à caractère générique.

  1. Créer un enregistrement de ressource CAA “issue” pour DigiCert

    À moins que vous ayez des raisons particulières de créer un enregistrement de ressource CAA "issuewild" pour votre domaine, ne le faites pas. Gérer uniquement les enregistrements de ressources CAA "issue" est beaucoup plus simple :

generic
yourdomain CAA 0 issue "digicert.com"
  1. Créer un enregistrement de ressource CAA “issue” et un enregistrement “issuewild” pour DigiCert

    Si la politique de votre organisation le permet, et que vous devez créer des enregistrements de ressources CAA “issuewild” pour votre domaine.com, alors créez deux règles :

generic
yourdomain CAA 0 issue "digicert.com"
yourdomain CAA 0 issuewild "digicert.com"
  1. Nous contacter

    Si la politique de votre organisation vous empêche d'autoriser DigiCert à émettre des certificats non génériques pour votre domaine, contactez-nous, et nous travaillerons ensemble pour trouver une solution au problème afin de pouvoir vous émettre votre certificat à caractère générique.

Utilisation incorrecte de la"la propriété" issuewild

Lorsqu'elle n'est pas utilisée correctement, la propriété "issuewild" peut effectivement empêcher les AC de délivrer les certificats nécessaires pour un domaine. Lors du traitement des commandes de certificats, les AC ignorent tous les enregistrements de ressource CAA avec la balise de propriété "issuewild", sauf si (1) l'AC traite une commande de certificat à caractère générique, ou (2) une balise "issuewild" est le seul enregistrement de ressource CAA pour le domaine.

  1. AC traitant d'une commande de certificat à caractère générique

    Lorsque vous créez un seul enregistrement "issuewild" pour votre domaine (yourdomain CAA 0 issuewild "digicert.com"), vous excluez effectivement toutes les autres AC sans enregistrement "issuewild" de l'émission d'un certificat à caractère générique pour ce domaine. Dans le cas contraire, vous devez créer un enregistrement supplémentaire "issuewild" pour chaque AC que vous souhaitez autoriser à émettre des certificats à caractère générique pour votre domaine.

  2. Enregistrement de ressource CAA "issuewild" - seul type d'enregistrement créé pour le domaine

    Lorsque vous commandez un certificat non générique pour votre domaine, l'AC ignore les enregistrements de ressources CAA "issuewild" pour le domaine, à moins que ces enregistrements "issuewild" ne soient les seuls détectés. Dans ce cas, l'AC ne peut pas délivrer de certificat non générique pour votre domaine.

    Les enregistrements de ressource CAA servent essentiellement à créer des politiques de délivrance de certificats pour un domaine. En créant un seul enregistrement "issuewild" pour votre domaine (yourdomain CAA 0 issuewild "digicert.com"), sans aucun enregistrement "issue" associé, vous dites deux choses :

    1. Vous autorisez cette CA (et seulement cette CA) à émettre des certificats à caractère générique pour votre domaine.
    2. Vous ne voulez pas qu'une AC émette des certificats non génériques pour votre domaine.
      C'est ainsi que fonctionnent les enregistrements de ressource CAA et ce devrait être votre intention lorsque vous créez uniquement des enregistrements de ressource CAA "issuewild" pour votredomaine.com.

    Lorsque vous créez votre premier enregistrement de ressource CAA "issuewild" pour un domaine, il est important de comprendre que vous devez maintenant créer une politique (enregistrement de ressource CAA) pour les deux types d'autorisation de certificat SSL/TLS (non génériques et Wildcard) à l'avenir.

Comment l'enregistrement des ressources CAA et CNAME fonctionnent ensemble

Lorsque vous demandez un certificat SSL/TLS pour un domaine (par exemple, mon.blog.exemple.com) qui contient un enregistrement CNAME pointant vers un autre domaine (par exemple, mon.blog.exemple.net), l'autorité de certification (AC) suit un processus spécifique (défini dans les exigences de base[)]pour trouver un enregistrement de ressource CAA les autorisant à émettre votre certificat.

Cibles CNAME

Comme mesure préventive contre les attaques par épuisement des ressources, une AC n'est tenue de suivre que 8 cibles CNAME (8 enregistrements CNAME ou moins : blog.exemple.com est un CNAME pour blog.exemple.net qui est un CNAME pour blog.exemple.org et ainsi de suite sur 8 niveaux de profondeur).

Le processus commence au nom de domaine sur la demande de certificat et se poursuit jusqu'au domaine de premier niveau. Le processus s'arrête à tout moment si des enregistrements de ressource CAA sont détectés. Les enregistrements de ressource CAA déterminent alors si l'AC est autorisée à émettre votre certificat.

Exemple de workflows de contrôle d'enregistrement de ressources CAA avec présence de la CNAME

Pour visualiser une version agrandie du diagramme, cliquez ici.

Étape 1 : L'AC vérifie les enregistrements de ressources CAA pour le nom de domaine sur la demande de certificat-mon.blog.exemple.com.

Si l'AC trouve un enregistrement CAA pour le domaine sur la demande de certificat, la recherche s'arrête. L'AC vérifie s'il existe un enregistrement CAA qui l'autorise à émettre votre certificat. Si elle trouve l'enregistrement, l'AC émet le certificat. Si elle ne trouve pas l'enregistrement, elle ne peut pas émettre le certificat.

Si l'AC ne trouve pas d'enregistrement CAA pour le domaine sur la demande de certificat, la recherche d'enregistrement CAA se poursuit.

Étape 2 : L'AC vérifie les enregistrements de ressource CAA pour le domaine cible CNAME-mon.blog.example.net.

Si l'AC trouve un enregistrement CAA pour le domaine cible CNAME, la recherche s'arrête. L'AC vérifie s'il existe un enregistrement CAA qui l'autorise à émettre votre certificat. Si elle trouve l'enregistrement, l'AC émet le certificat. Si elle ne trouve pas l'enregistrement, elle ne peut pas émettre le certificat.

Si l'AC ne trouve pas d'enregistrement CAA pour le domaine cible CNAME, la recherche d'enregistrement CAA se poursuit.

Étape 3 : L'AC vérifie les enregistrements de ressource CAA pour le domaine parent du domaine d'origine domaine-blog.exemple.com.

Si l'AC trouve un enregistrement CAA pour le domaine parent du domaine d'origine, la recherche s'arrête. L'AC vérifie s'il existe un enregistrement CAA qui l'autorise à émettre votre certificat. Si elle trouve l'enregistrement, l'AC émet le certificat. Si elle ne trouve pas l'enregistrement, elle ne peut pas émettre le certificat.

Si l'AC ne trouve pas d'enregistrement CAA pour le domaine parent du domaine d'origine, la recherche d'enregistrement CAA se poursuit.

Étape 4 : L'AC vérifie les enregistrements de ressource CAA pour le domaine de base d'origine domaine-exemple.com.

Si l'AC trouve un enregistrement CAA pour le domaine de base du domaine d'origine, la recherche s'arrête. L'AC vérifie s'il existe un enregistrement CAA qui l'autorise à émettre votre certificat. Si elle trouve l'enregistrement, l'AC émet le certificat. Si elle ne trouve pas l'enregistrement, elle ne peut pas émettre le certificat.

Si l'AC ne trouve pas d'enregistrement CAA pour le domaine de base du domaine d'origine, la recherche d'enregistrement CAA se poursuit.

Étape 5 : L'AC vérifie les enregistrements de ressource CAA pour le domaine de premier niveau d'origine domaine–com.

Si l'AC trouve un enregistrement CAA pour le domaine de premier niveau du domaine d'origine, la recherche s'arrête. L'AC vérifie s'il existe un enregistrement CAA qui l'autorise à émettre votre certificat. Si elle trouve l'enregistrement, l'AC émet le certificat. Si elle ne trouve pas l'enregistrement, elle ne peut pas émettre le certificat.

Si l'AC ne trouve pas d'enregistrement CAA pour le domaine de premier niveau du domaine d'origine, l'enregistrement CAA émet le certificat.

Renseignements supplémentaires :