Contrôle de l'enregistrement de ressource DNS CAA

À compter du 8 septembre 2017, les autorités de certification (CA) ont pour obligation de vérifier, traiter et respecter les enregistrements de ressources (resource records, ou RR) d’autorisation d'autorité de certification (certification authority authorization ou CAA) DNS du domaine avant de pouvoir émettre le certificat commandé par le demandeur.

Remarque : Les enregistrements de ressources CAA ne sont PAS OBLIGATOIRES pour permettre à DigiCert de vous livrer les certificats pour vos domaines. Les informations fournies concernant ces enregistrements ne sont importantes que si vous avez déjà paramétré des enregistrements de ressources CAA pour l’un de vos domaines ou si vous souhaitez ajouter de tels enregistrements à vos domaines.

Avant l’émission du certificat, l’AC vérifie les RR de CAA pour vérifier si elle peut émettre un certificat pour le domaine. Les AC peuvent émettre des certificats pour un domaine si l’une des conditions suivantes est remplie :

  • Il n’y a pas d’enregistrement de ressources pour le domaine
  • Il existe bien un enregistrement pour le domaine, qui autorise l’AC à émettre ce type de certificat pour ce domaine.

Si vous avez créé ou prévoyez de créer des RR CAA pour vos domaines, il est important de vérifier que vos enregistrements sont à jour et corrects. Chez DigiCert, nous recommandons de vérifier les RR CAA DNS de vos domaines pour vérifier que les enregistrements nécessaires à l’émission de certificats par chaque AC autorisée sont bien présents sur chaque domaine. Nous recommandons également aux organisations créant de nouveaux RR CAA de comprendre parfaitement le fonctionnement de ce processus afin de ne pas bloquer involontairement l’émission de certificat par une AC

Pour plus d'informations, rendez-vous sur la page Examen des enregistrements de ressources CAA DNS (https://www.digicert.com/dns-caa-rr-check.htm).