Qu’est-ce qu’un enregistrement de type CAA ?

Un enregistrement CAA sert de confirmation supplémentaire pour l’Autorité de Certification (CA) lors du processus de validation d’un certificat SSL. Cet enregistrement permet de préciser l’Autorité de Certification qui est autorisée à délivrer des certificats SSL pour le domaine. Retrouvez la RFC ici

Exemples d’enregistrements CAA

La syntaxe standard pour les certificats SSL achetés via Gandi doit être celle-ci (si vous l’entrez par la « Vue Texte » de l’éditeur)

@ IN CAA 0 issue "sectigo.com"
@ IN CAA 0 issue "digicert.com"
@ IN CAA 0 issuewild "sectigo.com"
@ IN CAA 0 issuewild "digicert.com"

Vous pouvez aussi préciser plusieurs Autorités de Certification (CA) si vous générer plusieurs certificats de CA différents pour un seul domaine. Par exemple :

@ IN CAA 0 issue "sectigo.com"
@ IN CAA 0 issue "digicert.com"
@ IN CAA 0 issue "letsencrypt.com"

Valeurs des enregistrements CAA

Si vous entrez les enregistrements via le mode « Vue avancée » de notre éditeur d’enregistrements DNS, vous trouverez ci-dessous une explication des différentes propriétés.

• Type : CAA indique une autorité de certification autorisée à délivrer un SSL pour le domaine.

• TTL : C’est le nombre de secondes avant que l’enregistrement soit vérifié et mis à jour s’il a été modifié. La valeur par défaut est 10800.

• Nom : Le domaine (@ pour le domaine Apex) ou le sous domaine pour lequel l’autorisation va s’appliquer.

• Flags : 0 (standard) ou 128 (bloque la validation si le tag est inconnu par l’autorité de certification)

• Tagindique ce que définit le champs valeur

  • issue : l’autorité de certification autorisée à émettre des certificats pour ce domaine

  • issuewild : l’autorité de certification autorisée à émettre des certificats wildcard pour ce domaine.

  • iodef : URL vers laquelle une autorité de certification peut envoyer un rapport dans le cas où une demande est faite sans que l’enregistrement CAA ne l’autorise.