Empêchez l'émission de certificats SSL/TLS non autorisés et sécurisez votre domaine grâce à notre vérificateur CAA rapide et précis.
Un enregistrement CAA (Certification Authority Authorization) est un type d'enregistrement DNS qui indique quelles autorités de certification (CA) sont autorisées à émettre des certificats SSL/TLS pour un domaine. Les enregistrements de ressources CAA aident les propriétaires de domaines à établir des politiques qui autorisent des autorités de certification spécifiques à émettre des certificats TLS/SSL pour les domaines associés. En tant que propriétaire de domaine, vous pouvez utiliser les enregistrements CAA pour établir et maintenir les politiques de sécurité à la fois pour un domaine entier et pour un nom d'hôte spécifique. Vous pouvez considérer cela comme une politique générale pour les sous-domaines de la politique, sauf lorsque vous établissez un enregistrement CAA distinct pour un sous-domaine spécifique.
Un dossier CAA se compose de trois éléments clés :
Drapeau
Un nombre (0 ou 128) qui définit si la politique est critique.
Étiquette
Spécifie le type de politique (issue, issuewild ou iodef).
Valeur
L'adresse électronique/URL de l'autorité de certification ou du rapporteur autorisé.
Voici quelques exemples de ce à quoi ressemblent les dossiers CAA dans la pratique :
| Syntaxe de l'enregistrement CAA | Ce que cela signifie |
| exemple.com. IN CAA 0 issue "letsencrypt.org" | Seul Let's Encrypt peut émettre des certificats SSL/TLS pour example.com. |
| exemple.com. IN CAA 0 issuewild "digicert.com" | Cela permet uniquement à DigiCert d'émettre des certificats de type "wildcard" pour exemple.com. |
| exemple.com. IN CAA 0 iodef "mailto:[email protected] | Il indique aux autorités de certification qu'elles doivent envoyer des alertes en cas de détection d'une demande de certificat non autorisée. |
Une entreprise demande un certificat SSL/TLS.
L'autorité de certification vérifie la présence d'un enregistrement CAA dans le DNS.
- Si un enregistrement existe, l'autorité de certification vérifie s'il est autorisé.
- S'il n'y a pas d'enregistrement, ils poursuivent la demande.
Si elle n'est pas autorisée, l'autorité de certification refuse la demande ou envoie une alerte IODEF.
Un vérificateur CAA (Certification Authority Authorization) vous aide à gérer et à vérifier quelles autorités de certification (CA) sont autorisées à émettre des certificats certificats SSL/TLS pour votre domaine. Les principaux avantages sont les suivants :
L'utilisation régulière d'un vérificateur de CAA permet de maintenir un environnement de domaine sécurisé et conforme tout en empêchant l'utilisation de certificats non autorisés.
Le vérificateur d'autorisation de l'autorité de certification de PowerDMARC est un outil puissant conçu pour renforcer la sécurité de votre domaine en vérifiant vos enregistrements CAA. Ce processus de vérification garantit que seules les autorités de certification autorisées peuvent émettre des certificats pour votre domaine.
L'inscription à PowerDMARC vous permet de disposer d'une gamme d'outils d'authentification des courriels et de gestion des DNS !
Dans la barre de menu de gauche, naviguez vers Outils d'analyse et cliquez sur l'onglet Outils de recherche. Sélectionnez le vérificateur CAA dans notre liste d'outils de recherche.
Saisissez le nom de domaine de votre entreprise (par exemple company.com) dans la boîte à outils du vérificateur d'enregistrements CAA et cliquez sur le bouton "Recherche".
Laissez l'outil opérer sa magie pour afficher votre liste d'autorités de certification ! Examinez les autorités de certification autorisées et détectez facilement celles qui ne le sont pas. Notre outil met également en évidence tout problème connexe et le TTL correspondant à chaque autorité de certification.
Examinez tous les problèmes dans vos dossiers CAA afin de les résoudre rapidement !
Que se passe-t-il si je n'ai pas de dossier CAA ?
Si vous n'avez pas d'enregistrement CAA, n'importe quelle autorité de certification (CA) peut émettre un certificat SSL/TLS pour votre domaine. Cela augmente le risque d'émission de certificats non autorisés, ce qui peut entraîner des failles de sécurité telles que le phishing ou les attaques de type "man-in-the-middle".
Puis-je spécifier plusieurs autorités de certification (AC) dans mon enregistrement CAA ?
Oui, vous pouvez spécifier plusieurs autorités de certification dans votre enregistrement CAA. Cela vous permet de travailler avec plusieurs autorités de certification de confiance tout en empêchant les autorités non autorisées d'émettre des certificats pour votre domaine.
À quelle fréquence dois-je vérifier mes dossiers CAA ?
Il est conseillé de vérifier régulièrement vos enregistrements CAA, en particulier après avoir modifié vos paramètres DNS ou lors de l'intégration d'une nouvelle autorité de certification. Des vérifications régulières permettent de s'assurer que vos enregistrements sont correctement configurés et conformes aux meilleures pratiques en matière de sécurité.
Que se passe-t-il si mon dossier CAA est mal configuré ?
Un enregistrement CAA mal configuré peut entraîner l'échec de l'émission de certificats SSL/TLS ou l'émission de certificats non autorisés. Utilisez le vérificateur CAA de PowerDMARC pour identifier et corriger rapidement les mauvaises configurations, afin de garantir la sécurité de votre domaine.
Le vérificateur CAA de PowerDMARC fonctionne-t-il pour les sous-domaines ?
Oui, le CAA Checker de PowerDMARC peut valider les enregistrements CAA pour votre domaine racine et vos sous-domaines. Il garantit que les politiques sont correctement appliquées à tous les niveaux, ce qui vous donne un contrôle total sur l'émission des certificats.
