Enregistrement CAA

Un enregistrement CAA sert de confirmation supplémentaire pour l’Autorité de Certification (CA) lors du processus de validation d’un certificat SSL. Cet enregistrement permet de préciser à l’Autorité de Certification qui est autorisé à délivré des certificats SSL pour le domaine. Retrouvez la RFC ici

Cet enregistrement permet de spécifier quelles autorités de certifications sont autorisées à délivrer des certificats SSL pour le domaine (voir la RFC).

Exemples d’enregistrements CAA

La syntaxe standard pour les certificats SSL achetés via Gandi doit être celle ci (si vous l’entrez par la « Vue Texte » de l’éditeur)

@ IN CAA 0 issue "sectigo.com"

@ IN CAA 0 issuewild "sectigo.com"

Vous pouvez aussi préciser plusieurs Autorités de Certification (CA) si vous générer plusieurs certificats de CA différents pour un seul domaine. Par exemple :

@ IN CAA 0 issue "sectigo.com"

@ IN CAA 0 issue "letsencrypt.org"

Valeurs des enregistrements CAA

Si vous entrez les enregistrements via le mode « Vue Table » de notre éditeur d’enregistrements DNS, vous trouverez ci dessous une explication des différentes propriétés.

  • Type : CAA indique une autorité de certification autorisée à délivrer un SSL pour le domaine.

  • TTL : C’est le nombre de secondes avant que l’enregistrement soit vérifié et mis à jour s’il a été modifié. La valeur par défaut est 10800.

  • Nom : Le domaine (@ pour le domaine Apex) ou le sous domaine pour lequel l’autorisation va s’appliquer.

  • Flags : 0 (standard) ou 1 (bloque la validation si le tag est inconnu par l’autorité de certification)

  • Tag : indique ce que définit le champs valeur
    • issue : l’autorité de certification autorisée à émettre des certificats pour ce domaine
    • issuewild : l’autorité de certification autorisée à émettre des certificats wildcard pour ce domaine.
    • iodef : URL vers laquelle une autorité de certification peut envoyer un rapport dans le cas où une demande est faite sans que l’enregistrement CAA ne l’autorise.