Qu’est-ce qu’un enregistrement de type CAA ?¶
Un enregistrement CAA sert de confirmation supplémentaire pour l’Autorité de Certification (CA) lors du processus de validation d’un certificat SSL. Cet enregistrement permet de préciser l’Autorité de Certification qui est autorisée à délivrer des certificats SSL pour le domaine. Retrouvez la RFC ici
Exemples d’enregistrements CAA¶
La syntaxe standard pour les certificats SSL achetés via Gandi doit être celle-ci (si vous l’entrez par la « Vue Texte » de l’éditeur)
@ IN CAA 0 issue "sectigo.com"
@ IN CAA 0 issue "digicert.com"
@ IN CAA 0 issuewild "sectigo.com"
@ IN CAA 0 issuewild "digicert.com"
Vous pouvez aussi préciser plusieurs Autorités de Certification (CA) si vous générer plusieurs certificats de CA différents pour un seul domaine. Par exemple :
@ IN CAA 0 issue "sectigo.com"
@ IN CAA 0 issue "digicert.com"
@ IN CAA 0 issue "letsencrypt.com"
Valeurs des enregistrements CAA¶
Si vous entrez les enregistrements via le mode « Vue avancée » de notre éditeur d’enregistrements DNS, vous trouverez ci-dessous une explication des différentes propriétés.
Type : CAA indique une autorité de certification autorisée à délivrer un SSL pour le domaine.
TTL : C’est le nombre de secondes avant que l’enregistrement soit vérifié et mis à jour s’il a été modifié. La valeur par défaut est 10800.
Nom : Le domaine (@ pour le domaine Apex) ou le sous domaine pour lequel l’autorisation va s’appliquer.
Flags : 0 (standard) ou 128 (bloque la validation si le tag est inconnu par l’autorité de certification)
- Tagindique ce que définit le champs valeur
issue : l’autorité de certification autorisée à émettre des certificats pour ce domaine
issuewild : l’autorité de certification autorisée à émettre des certificats wildcard pour ce domaine.
iodef : URL vers laquelle une autorité de certification peut envoyer un rapport dans le cas où une demande est faite sans que l’enregistrement CAA ne l’autorise.