Les extensions ACME CAA deviendront obligatoires

26 juin 2026 | Jindřich Zechmeister

Le Forum CA/B, une association des principales autorités de certification et des développeurs de navigateurs internet, a voté pour que, à partir de mars 2027, toutes les autorités de certification doivent prendre en charge l'extension de l'enregistrement ACME CAA. Il s'agit d'une étape importante vers une vérification de domaine plus sécurisée et basée sur la cryptographie, ainsi qu'une émission de certificats TLS/SSL. Comment cette nouveauté affectera-t-elle l'émission de certificats, et à quoi ressemble l'enregistrement CAA dans la pratique ?

Comment les enregistrements d'extension CAA sont-ils devenus obligatoires ?

Chrome est un fervent partisan de l'automatisation, et cet engagement est un thème central du Programme Racine, En février 2026, Google a commencé à exiger que les autorités prennent en charge l'ACME CAA, dans le but de favoriser l'automatisation via ACME. Ensuite, en mai 2026, le Forum des Autorités de Certification et Navigateurs (CA/Browser Forum) a voté lors du scrutin SC-098v2 pour étendre le support des nouveaux enregistrements CAA parmi les autorités de certification. À partir de mars 2027, toutes les autorités devront obligatoirement prendre en charge l'ACME CAA.

Pourquoi était-ce nécessaire de changer ?

Le système PKI web actuel est généralement suffisant pour les usages courants, notamment pour sécuriser les sites web qui ne sont pas exposés à des menaces graves. Cependant, les sites web d'importance critique nécessitent une meilleure sécurisation lors du processus d'obtention de certificats. Bien que l'écosystème PKI web ait été amélioré au fil des décennies et repose sur des règles et contrôles sophistiqués, il présente deux problèmes fondamentaux. Ces problèmes simplifient le processus dans son ensemble, mais au prix d'exigences de sécurité réduites :

  • Absence d'authentification du demandeur : Toute personne dans le monde peut demander un certificat pour n'importe quel domaine. Si la demande réussit à passer le processus de vérification du domaine, l'autorité délivrera le certificat au demandeur sans nécessiter l'autorisation du propriétaire du domaine.
  • Processus de vérification vulnérable : Les autorités de certification vérifient souvent la propriété des domaines via des méthodes peu sécurisées, comme le DNS non sécurisé ou le protocole HTTP standard, lors de la demande de certificat. Toute personne capable d'interférer avec ces processus de vérification peut perturber et falsifier la vérification du domaine.

À quoi ressemble l'enregistrement ACME CAA ?

Les faiblesses mentionnées ci-dessus de la PKI web peuvent être résolues grâce à la norme Certification Authority Authorization (CAA), conçue pour permettre aux propriétaires de domaines de publier leurs politiques d'émission de certificats.

La version de base de la norme CAA est obligatoire depuis septembre 2017. Cependant, cet enregistrement CAA classique dans le DNS ne permet que de spécifier quelle autorité de certification (comme DigiCert) est autorisée à émettre des certificats pour un domaine donné. La nouvelle extension obligatoire ACME va nettement plus loin en permettant d'ajouter des conditions très détaillées à l'enregistrement. En pratique, un nouvel enregistrement étendu peut ressembler à ceci :

example.com. CAA 0 issue "digicert.org;
accounturi=https://acme-v02.api.
digicert.org/acme/acct/1726001367;
validationmethods=dns-01"

À gauche se trouve le nom de domaine pour lequel nous souhaitons contrôler l'émission des certificats. Sur la droite, nous avons trois variables :

  • La première est le nom de CA, qui est autorisée à émettre des certificats pour le domaine spécifié.
  • La deuxième variable est l'instruction "accounturi", qui limite l'émission des certificats au seul compte ACME spécifié. Grâce à l'utilisation systématique du chiffrement et de l'authentification cryptographique forte par ACME, l'instruction "accounturi" garantit que seuls les utilisateurs autorisés peuvent demander des certificats pour ce nom de domaine. Vous pouvez définir l'identifiant ou l'URL exact de votre compte ACME auprès de DigiCert. Personne d'autre – même s'il parvient à compromettre une partie de votre réseau – ne pourra générer un certificat en votre nom, car l'autorité n'acceptera que les requêtes provenant d'un compte appartenant au propriétaire, cryptographiquement sécurisé et vérifié.
  • La troisième instruction, "validationmethods", limite l'émission des certificats à l'utilisation exclusive d'une méthode de validation basée sur DNS. La mise en place de DNSSEC (obligatoire depuis mars 2026) garantit que l'ensemble du processus de vérification est effectué de manière entièrement cryptographiquement sécurisée.

L'enregistrement ci-dessus stipule que DigiCert peut émettre un certificat uniquement pour le compte ACME n° 1726001367 et uniquement à travers une vérification DNS

Qu'est-ce que cela signifie pour vous ?

À partir de l'année prochaine, toutes les autorités sur le marché devront se conformer à cette nouvelle extension. Il vous incombera donc de configurer cette mesure de sécurité avancée dans votre DNS.

Source :

ACME CAA Extensions to Become Mandatory