Les enregistrements DNS CAA peuvent bloquer l'émission du certificat

Un DNS d'autorisation d'autorité de certification (CAA) permet au propriétaire de site web d’indiquer une autorité de certification qui est autorisée à émettre un certificat pour votre domaine. La présence d'enregistrement CAA empêche l'émission d'un certificat par une autorité non souhaitée et, souvent, il bloque l'émission des certificats de DigiCert pour vous, nos clients. Allons donc voir comment procéder.

Pourquoi on utilise des enregistrements DNS CAA

Avant l'émission d'un certificat SSL/TLS pour votre domaine, l'autorité de certification (DigiCert) vérifie les enregistrements DNS CAA pour déterminer, si elle peut émettre un certificat pour votre domaine. Si l’enregistrement CAA indique une AC différente, les autres AC sont exclues. Tous les AC dans le monde doivent désormais respecter l'enregistrement CAA, et le propriétaire du domaine dispose donc d'un outil puissant pour le protéger. L'enregistrement CAA empêche souvent l'émission des certificats DigiCert, sans qu'on le sache. Nous allons vous montrer comment gérer cette situation.

Emission refusée ?

Avant l'émission d'un certificat SSL, Digicert vérifie l'organisation et le propriétaire doit prouver qu'il contrôle les domaines. Lorsque vous créez un enregistrement d’autorisation d'autorité de certification (CAA), l'AC a pour obligation de le vérifier et respecter.

Pour vérifier l'état de validation, vous pouvez consulter votre espace client. Mais si l'enregistrement CAA bloque l'émission du certificat, la modification ne peut être effectuée que par les personnes ayant accès aux enregistrements DNS du domaine.

Vérifiez les enregistrements DNS CAA

Ouvrez un vérificateur DNS - par exemple Google Dig, ou utilisez dig dans la ligne de commande. Vérifiez que vos enregistrements CAA sont correctement configurés. Si vous utilisez Google Dig, entrez le nom de domaine et sélectionnez le type CAA.

Le résultat s'affiche immédiatement - sinon la réponse est "Record not found!" (s'il n'y a pas d'enregistrement CAA, l'émission ne peut pas être bloquée).

Exemple : seulement l'autorité de certification "letsencrypt.org" est autorisée à émettre des certificats pour le nom de domaine "domaine.fr", ce qui empêche à DigiCert à émettre un certificat pour ce domaine. ;; ANSWER SECTION:
domaine.fr 600 IN CAA 1 issue "letsencrypt.org"

Modifiez ou supprimez l'enregistrement CAA

Si une autorité de certification non souhaitée est renseignée dans le champ DNS CAA, il est nécessaire de modifier la zone DNS du domaine. Demandez votre administrateur de domaine (nous n'avons pas accès à vos enregistrements DNS).

Vous avez alors 2 possibilités :

  • Ajouter un nouvel enregistrement CAA pour l'AC Digicert : digicert.com
  • Supprimer l'enregistrement CAA - si vous ne souhaitez pas activer la vérification de CAA

    • Dans notre cas, les enregistrements CAA pourraient ressembler à ceci :

    ;; ANSWER SECTION:
    domaine.fr 600 IN CAA 1 issue "letsencrypt.org"
    domaine.fr 600 IN CAA 1 issue "digicert.com"

    Vérifiez que vos modifications DNS ont été correctement appliquées. La propagation des modifications apportées aux enregistrements DNS peut prendre jusqu'à 2 heures. Une fois que l'AC DigiCert le prenne en compte, le certificat pourra être délivré. N'hésitez pas à nous contacter si vous rencontrez des problèmes. Notre service client est à votre disposition.

    Cet article vous a-t-il été utile ?