Qu’est-ce qu’un enregistrement de type CAA ?
Un enregistrement CAA sert de confirmation supplémentaire pour l’Autorité de Certification (CA) lors du processus de validation d’un certificat SSL. Cet enregistrement permet de préciser à l’Autorité de Certification qui est autorisé à délivrer des certificats SSL pour le domaine. Retrouvez la RFC ici
https://datatracker.ietf.org/doc/html/rfc6844
Exemples d’enregistrements CAA
La syntaxe standard pour les certificats SSL achetés via Gandi doit être celle-ci (si vous l’entrez par la « Vue Texte » de l’éditeur)
@ IN CAA 0 issue "sectigo.com"
@ IN CAA 0 issuewild "sectigo.com"
Vous pouvez aussi préciser plusieurs Autorités de Certification (CA) si vous générer plusieurs certificats de CA différents pour un seul domaine. Par exemple :
@ IN CAA 0 issue "sectigo.com"
@ IN CAA 0 issue "letsencrypt.org"
Valeurs des enregistrements CAA
Si vous entrez les enregistrements via le mode « Vue avancée » de notre éditeur d’enregistrements DNS, vous trouverez ci-dessous une explication des différentes propriétés.
- Type : CAA indique une autorité de certification autorisée à délivrer un SSL pour le domaine.
- TTL : C’est le nombre de secondes avant que l’enregistrement soit vérifié et mis à jour s’il a été modifié. La valeur par défaut est 10800.
- Nom : Le domaine (@ pour le domaine Apex) ou le sous domaine pour lequel l’autorisation va s’appliquer.
- Flags : 0 (standard) ou 1 (bloque la validation si le tag est inconnu par l’autorité de certification)
- Tag : indique ce que définit le champs valeur
- issue : l’autorité de certification autorisée à émettre des certificats pour ce domaine
- issuewild : l’autorité de certification autorisée à émettre des certificats wildcard pour ce domaine.
- iodef : URL vers laquelle une autorité de certification peut envoyer un rapport dans le cas où une demande est faite sans que l’enregistrement CAA ne l’autorise.