Qu’est-ce qu’un enregistrement de type CAA ?¶
Un enregistrement CAA sert de confirmation supplémentaire pour l’Autorité de Certification (CA) lors du processus de validation d’un certificat SSL. Cet enregistrement permet de préciser à l’Autorité de Certification qui est autorisé à délivré des certificats SSL pour le domaine. Retrouvez la RFC ici
Cet enregistrement permet de spécifier quelles autorités de certifications sont autorisées à délivrer des certificats SSL pour le domaine (voir la RFC).
Exemples d’enregistrements CAA¶
La syntaxe standard pour les certificats SSL achetés via Gandi doit être celle-ci (si vous l’entrez par la « Vue Texte » de l’éditeur)
@ IN CAA 0 issue "sectigo.com"
@ IN CAA 0 issuewild "sectigo.com"
Vous pouvez aussi préciser plusieurs Autorités de Certification (CA) si vous générer plusieurs certificats de CA différents pour un seul domaine. Par exemple :
@ IN CAA 0 issue "sectigo.com"
@ IN CAA 0 issue "letsencrypt.org"
Valeurs des enregistrements CAA¶
Si vous entrez les enregistrements via le mode « Vue avancée » de notre éditeur d’enregistrements DNS, vous trouverez ci-dessous une explication des différentes propriétés.
Type : CAA indique une autorité de certification autorisée à délivrer un SSL pour le domaine.
TTL : C’est le nombre de secondes avant que l’enregistrement soit vérifié et mis à jour s’il a été modifié. La valeur par défaut est 10800.
Nom : Le domaine (@ pour le domaine Apex) ou le sous domaine pour lequel l’autorisation va s’appliquer.
Flags : 0 (standard) ou 1 (bloque la validation si le tag est inconnu par l’autorité de certification)
- Tagindique ce que définit le champs valeur
issue : l’autorité de certification autorisée à émettre des certificats pour ce domaine
issuewild : l’autorité de certification autorisée à émettre des certificats wildcard pour ce domaine.
iodef : URL vers laquelle une autorité de certification peut envoyer un rapport dans le cas où une demande est faite sans que l’enregistrement CAA ne l’autorise.