Les enregistrements DNS CAA peuvent bloquer l'émission du certificat

Le CAA est un type d’enregistrement DNS qui permet aux propriétaires des sites de préciser quelles autorités de certification (AC) sont autorisées à émettre des certificats contenant leurs noms de domaine. Il empêche l'émission d'un certificat par une autorité non souhaitée et, souvent, il bloque l'émission d'un certificat de DigiCert pour nos clients. Allons donc voir comment procéder.

Pourquoi on utilise des enregistrements DNS CAA

Si une autorité de certification reçoit une commande de certificat pour un domaine, elle doit d'abord consulter l'enregistrement CAA auprès du propriétaire du domaine. Si l’enregistrement CAA spécifie une AC différente, la génération du certificat est refusée. Tous les AC dans le monde doivent désormais respecter l'enregistrement CAA, et le propriétaire du domaine dispose donc d'un outil puissant pour le protéger. Cet enregistrement CAA empêche souvent l'émission d'un certificat de DigiCert et nos clients ne le savent pas. Nous allons vous montrer comment gérer cette situation.

L'émission du certificat est-elle refusée ?

Pour émettre un certificat SSL, l'AC doit vérifier l'organisation et le fait que vous contrôlez le domaine. L'AC a pour obligation de vérifier, traiter et respecter les enregistrements de ressources d’autorisation d'autorité de certification (certification authority authorization ou CAA) du domaine. Pour vérifier l'état de validation, vous pouvez consulter votre espace client. Mais si l'enregistrement CAA bloque l'émission du certificat, la modification ne peut être effectuée que par une personne ayant accès aux enregistrements DNS du domaine.

Vérifiez les enregistrements DNS CAA

Ouvrez un vérificateur DNS - par exemple Google Dig, ou utilisez dig dans la ligne de commande. Vérifiez que vos enregistrements CAA sont correctement configurés. Si vous utilisez Google Dig, entrez votre nom de domaine et sélectionnez le type CAA.

Le résultat est affiché immédiatement - sinon la réponse est Record not found! (s'il n'y a pas d'enregistrement CAA, l'émission ne peut pas être bloquée).

Exemple : seulement l'autorité de certification "letsencrypt.org" est autorisée à émettre des certificats pour le nom de domaine "domaine.fr", ce qui signifie que DigiCert ne peut pas émettre de certificat pour ce domaine. ;; ANSWER SECTION:
domaine.fr 600 IN CAA 1 issue "letsencrypt.org"

Modifiez ou supprimez l'enregistrement CAA

Si une autorité de certification non souhaitée est renseignée dans le champ DNS CAA, il est nécessaire de modifier la zone DNS du domaine. Demandez le registraire ou l'administrateur de votre domaine (nous n'avons pas accès à vos enregistrements DNS).

Vous avez alors deux possibilités - soit, ajoutez un nouveau enregistrement CAA pour digicert.com, qui fonctionne pour tous les certificats de notre offre, soit, supprimez l'enregistrement CAA. Dans notre cas, les enregistrements CAA pourraient ressembler à ceci : ;; ANSWER SECTION:
domaine.fr 600 IN CAA 1 issue "letsencrypt.org"
domaine.fr 600 IN CAA 1 issue "digicert.com"

Vérifiez que vos modifications DNS ont été correctement appliquées. La propagation des modifications apportées aux enregistrements DNS peut prendre jusqu'à 2 heures. Une fois que l'AC DigiCert le prenne en compte, le certificat pourra être délivré. N'hésitez pas à nous contacter si vous rencontrez des problèmes. Notre service client est à votre disposition.