Enregistrement CAA

Un enregistrement CAA ne sert pas de vérification supplémentaire pour un client TLS (navigateur web en HTTPS par exemple), mais plutôt de confirmation supplémentaire pour l’Autorité de Certification (CA) lors du processus de validation d’un certificat SSL.

Cet enregistrement permet de spécifier quelles autorités de certifications sont autorisées à délivrer des certificats SSL pour le domaine (voir la RFC).

Référez vous aux Généralités des enregistrements DNS pour de plus amples informations sur les deux méthodes disponibles pour éditer vos enregistrements.

La syntaxe standard pour les certificats SSL achetés via Gandi doit être celle ci (si vous l’entrez par la « Vue Texte » de l’éditeur)

@ IN CAA 0 issue "sectigo.com"

@ IN CAA 0 issuewild "sectigo.com"

Vous pouvez aussi préciser plusieurs Autorités de Certification (CA) si vous générer plusieurs certificats de CA différents pour un seul domaine. Par exemple :

@ IN CAA 0 issue "sectigo.com"

@ IN CAA 0 issue "letsencrypt.org"

Valeurs des enregistrements CAA

Si vous entrez les enregistrements via le mode « Vue Table » de notre éditeur d’enregistrements DNS, vous trouverez ci dessous une explication des différentes propriétées.

  • Type : CAA indique une autorité de certification autorisée à délivrer un SSL pour le domaine.

  • TTL : C’est le nombre de secondes avant que l’enregistrement soit vérifié et mis à jour s’il a été modifié. La valeur par défaut est 10800.

  • Nom : Le domaine (@ pour le domaine Apex) ou le sous domaine pour lequel l’autorisation va s’appliquer.

  • Flags : 0 (standard) ou 1 (bloque la validation si le tag est inconnu par l’autorité de certification)

  • Tag : indique ce que définit le champs valeur
    • issue : l’autorité de certification autorisée à émettre des certificats pour ce domaine
    • issuewild : l’autorité de certification autorisée à émettre des certificats wildcard pour ce domaine.
    • iodef : URL vers laquelle une autorité de certification peut envoyer un rapport dans le cas où une demande est faite sans que l’enregistrement CAA ne l’autorise.

Exemples

example.com.         CAA  0   issue     "dev.example.net"

example.com.         CAA  0   issue     "demo.example.net"

example.com.         CAA  0   issuewild "certifauthority.example.net"

example.com.         CAA  128 iodef     "mailto:webmaster@example.com"