Qu'est-ce qu'un enregistrement CAA ? Guide de sécurité DNS

Un enregistrement CAA (Certificate Authority Authorization) est un type d'enregistrement DNS qui permet aux propriétaires de domaines de spécifier quelles autorités de certification (CA) sont autorisées à émettre des certificats SSL/TLS pour leur domaine. En termes simples, il agit comme un mécanisme de contrôle qui limite la délivrance de certificats à des fournisseurs de confiance, réduisant ainsi le risque de certificats non autorisés ou frauduleux.

Si vous vous demandez ce qu'est un enregistrement CAA, il s'agit essentiellement d'un moyen de protéger l'identité numérique de votre domaine au niveau du DNS. Sans enregistrement CAA, n'importe quelle autorité de certification de confiance peut émettre un certificat pour votre domaine, ce qui pourrait permettre une usurpation d'identité ou une utilisation abusive. Un enregistrement CAA correctement configuré renforce la crédibilité du site, empêche l'émission de certificats non autorisés et ajoute un niveau de sécurité important à votre stratégie globale de protection des domaines.

Qu'est-ce qu'un record CAA ?

Un enregistrement CAA est une simple entrée dans votre DNS qui agit comme votre liste personnelle et publique de contrôleurs. Il indique explicitement au monde : "Seules ces autorités de certification spécifiques et préapprouvées sont autorisées à émettre des certificats SSL/TLS pour mon domaine".

Il ne s'agit pas d'une simple suggestion polie, mais d'une règle obligatoire pour les autorités de certification, telle que définie par le CA/Browser Forum Exigences de base. Chaque autorité de certification doit vérifier votre enregistrement CAA avant de délivrer un certificat, et si elle n'est pas autorisée, elle doit refuser de le délivrer.

Pourquoi le CAA est-il important ?

Dans un monde sans pirates informatiques, la politique de la porte ouverte aurait été acceptable. Mais le web est une ville animée et chaotique. Une politique de la porte ferme, appliquée par un registre CAA, est essentielle pour plusieurs raisons :

Empêche les usurpateurs d'identité

Les enregistrements CAA empêchent les autorités de certification non autorisées de délivrer des certificats frauduleux pour votre domaine, ce qui permet d'empêcher les escrocs numériques d'installer une fausse vitrine convaincante à côté de la vôtre.

Protège votre réputation

Un certificat contrefait peut être utilisé dans des attaques par hameçonnage ou dans des schémas de type "man-in-the-middle", liant votre marque de confiance à des activités criminelles. Un enregistrement CAA est votre première ligne de défense contre cette atteinte à la réputation.

Applique vos normes de sécurité

Vous choisissez les autorités de certification qui répondent à vos normes de sécurité et de contrôle. La CAA garantit que personne d'autre, qu'il s'agisse d'un partenaire compromis, d'un employé malhonnête ou d'un attaquant astucieux, ne peut contourner votre choix.

C'est une case à cocher pour vérifier la conformité.

Pour les organisations qui adhèrent à des cadres de sécurité stricts tels que NIST ou PCI DSS, la démonstration du contrôle de l'émission de certificats n'est pas seulement une bonne pratique, mais souvent une exigence.

Comment fonctionne un dossier CAA ?

Lorsqu'une autorité de certification reçoit une demande de certificat pour votre domaine, elle recherche l'enregistrement CAA dans votre DNS. L'enregistrement lui-même est une instruction claire, composée de trois parties : un indicateur, une balise et une valeur.

Le bilan de la CAA suit cette structure :

example.com. IN CAA <flag> <tag> <value>

En règle générale, l'indicateur est égal à 0 et plusieurs enregistrements peuvent coexister, un pour chaque instruction d'autorisation.

• Drapeau : L'indicateur est généralement fixé à 0. Toutefois, en le fixant à 128 (indicateur "critique"), l'autorité de certification est tenue de refuser la délivrance si elle ne reconnaît pas l'étiquette, ce qui ajoute un niveau de sécurité supplémentaire.
• Tag : Il s'agit de l'instruction spécifique. Il existe trois commandes principales :
  • question: Permet à l'autorité de certification d'émettre des certificats standard.
  • issuewild: Accorde l'autorisation d'émettre des wildcard (par exemple, *.example.com), *.example.com). Cette autorisation peut être attribuée à la même autorité de certification ou à une autorité de certification différente de l'autorité de délivrance. issue de la question.
  • iodef: Il s'agit de l'instruction "signaler un incident". Elle fournit une adresse électronique à laquelle l'autorité de certification peut envoyer un avis si quelqu'un a essayé d'obtenir un certificat sans autorisation.
• Valeur : Il s'agit du nom de l'autorité de certification autorisée ou de l'adresse électronique de notification.

Balises CAA courantes et leur fonction

Les enregistrements CAA utilisent des balises spécifiques pour contrôler la manière dont les autorités de certification peuvent émettre des certificats SSL/TLS pour votre domaine. Chaque balise a un objectif distinct et s'applique à différents scénarios de certification :

-problème

La balise issue autorise certaines autorités de certification à émettre des certificats SSL/TLS standard pour votre domaine. Elle est utilisée lorsque vous souhaitez autoriser explicitement une ou plusieurs autorités de certification de confiance et empêcher toutes les autres d'émettre des certificats.

-issuewild

La balise issuewild contrôle quelles autorités de certification sont autorisées à émettre des certificats génériques pour votre domaine (par exemple, *.exemple.com). Cette balise n'est pertinente que si vous utilisez des certificats génériques et souhaitez contrôler séparément leur émission.

-iodef

La balise iodef définit où les autorités de certification doivent envoyer leurs rapports en cas de tentative d'émission d'un certificat non autorisé ou invalide. Ces rapports sont généralement envoyés à une adresse e-mail ou à une URL, ce qui aide les propriétaires de domaines à détecter les abus potentiels et à y répondre.

Ensemble, ces balises permettent aux propriétaires de domaines de contrôler beaucoup plus étroitement la manière dont les certificats sont émis, tout en facilitant la détection précoce des tentatives d'utilisation abusive ou de mauvaise configuration, avant qu'elles ne prennent de l'ampleur.

Comment configurer un enregistrement CAA

La configuration d'un enregistrement CAA se fait dans votre console de gestion DNS.

1. Entrez votre DNS : Connectez-vous à votre registraire de domaine ou à votre fournisseur de DNS.

2. Afficher une nouvelle règle : Trouvez la zone permettant d'ajouter un nouvel enregistrement DNS.

3. Rédigez l'instruction :

• • Type : CAA
  • Hôte/Nom : Votre domaine (par exemple, exemple.com)
  • Étiquette : Choisir problème, issuewildou iodef.
  • Valeur : Saisissez le nom de domaine de l'autorité de certification entre guillemets (par exemple, "digicert.com"), "digicert.com").
  • Drapeau: Réglez-le sur 0.

4. Publier et vérifier: Enregistrez l'enregistrement. Les modifications DNS peuvent prendre du temps à se propager sur Internet. Utilisez le vérificateur CAA en ligne de PowerDMARC vérificateur CAA pour vous assurer que votre politique est visible et correcte.

Comment PowerDMARC peut aider 

PowerDMARC's Certification Authority Authorization Checker est l'outil que vous utilisez pour inspecter votre propre politique de porte. Il s'agit d'un puissant utilitaire gratuit conçu pour vérifier instantanément vos enregistrements d'autorités de certification et confirmer que seules les autorités de certification que vous avez choisies figurent sur la liste.

Étape 1 : S'inscrire gratuitement à PowerDMARC 

L'inscription vous donne accès à toute une série d'outils d'authentification des DNS et des courriels pour assurer la sécurité de votre domaine.

Étape 2 : Allez dans Outils d'analyse > Outils de recherche > CAA Checker 

Dans le menu principal, naviguez vers nos outils d'analyse. Vous trouverez le vérificateur CAA dans l'onglet Outils de recherche.

Étape 3 : Entrez votre nom de domaine 

Saisissez le domaine que vous souhaitez inspecter (par ex, powerdmarc.com) dans la boîte à outils et cliquez sur le bouton "Lookup".

Étape 4 : Examiner la liste des personnes autorisées 

L'outil interrogera immédiatement votre DNS et affichera votre politique active en matière de CAA. Vous pouvez passer en revue les autorités de certification autorisées et repérer facilement celles qui ne devraient pas y figurer. L'outil met également en évidence le TTL (Time to Live) de chaque enregistrement.

Étape 5 : Résoudre les problèmes 

Si le vérificateur détecte des erreurs de configuration ou des entrées non autorisées, vous pouvez utiliser les informations détaillées pour contacter votre fournisseur de DNS et résoudre le problème.

Important : Un bon vérificateur de CAA vous aidera à prévenir l'émission de certificats non autorisés, à renforcer la sécurité du domaine, à identifier et à résoudre efficacement les mauvaises configurations, ainsi qu'à garantir la conformité et une meilleure gestion des certificats SSL.

Les erreurs de débutant à éviter

• Fautes de frappe sur la liste : Orthographe incorrecte du nom d'une autorité de certification ("digicert.co" au lieu de "digicert.com") les bloquera purement et simplement.
• Oublier le rapport de l'iodef : Ne pas indiquer à votre videur où envoyer les rapports d'incidents signifie que vous ne saurez jamais si quelqu'un teste votre sécurité.
• Politiques de taille unique : Si vous utilisez une autorité de certification pour les domaines standard et une autre pour les caractères génériques, vous avez besoin de deux enregistrements distincts (issue et issuewild).

Quand utiliser un enregistrement CAA

Un enregistrement CAA est fortement recommandé pour tout domaine utilisant des certificats SSL/TLS, en particulier lorsque l'utilisation abusive d'un certificat peut entraîner des problèmes de sécurité, de confiance ou de conformité. En limitant les autorités de certification autorisées à émettre des certificats pour votre domaine, le CAA réduit le risque d'émission non autorisée ou accidentelle de certificats.

CAA est particulièrement important pour les entreprises qui gèrent plusieurs domaines ou sous-domaines, les entreprises de commerce électronique qui traitent des données sensibles sur leurs clients et les organisations qui exploitent des sites Web destinés à la clientèle, où la confiance est essentielle. Il est également très utile pour les entreprises qui travaillent avec plusieurs équipes ou fournisseurs, où la gestion des certificats peut être répartie et plus difficile à contrôler de manière centralisée.

Le contrôle de l'autorisation CA devient essentiel dans les environnements où un certificat compromis ou mal émis pourrait permettre l'usurpation d'identité, les attaques de type « man-in-the-middle » ou nuire à l'image de marque. Même les petites organisations et les sites Web d'information ont intérêt à appliquer les restrictions CAA, car tout domaine utilisant le protocole SSL repose sur l'intégrité des certificats. La mise en œuvre d'un enregistrement CAA offre un niveau supplémentaire de contrôle et de visibilité qui renforce la sécurité globale du domaine, quelle que soit la taille de l'organisation.

Conclusion

Contrôlez totalement qui émet les certificats SSL/TLS pour votre domaine. Un enregistrement CAA constitue votre liste autorisée d'autorités de certification approuvées et empêche toute autre personne de créer un certificat en votre nom. 

Il s'agit d'un excellent moyen de défense contre les attaques de phishing et d'usurpation d'identité qui peuvent miner la confiance des clients. Mais il ne suffit pas de créer l'enregistrement. Pour s'assurer qu'il fonctionne correctement, une vérification régulière est nécessaire. PowerDMARC fournit les outils experts dont vous avez besoin non seulement pour vérifier la configuration de votre CAA, mais aussi pour déployer une défense complète et multicouche qui intègre la sécurité du Web et du courrier électronique. 

Ne laissez pas votre processus d'émission de certificats au hasard. Inscrivez-vous dès aujourd'hui à PowerDMARC pour utiliser notre CAA Checker gratuit, valider votre posture de sécurité et obtenir une visibilité et un contrôle complets sur les protocoles d'authentification de votre domaine.

Foire aux questions (FAQ)

À quoi sert un record de la CAA ?

Un enregistrement CAA est une politique publique dans votre DNS qui déclare quelles autorités de certification spécifiques sont autorisées à émettre des certificats SSL/TLS pour votre domaine.

Ai-je besoin d'un enregistrement CAA pour mon domaine ?

Non, il n'est pas obligatoire pour qu'un site web fonctionne. Mais sans certificat, n'importe quelle autorité de certification peut délivrer un certificat pour votre domaine si la demande est validée. Cela crée un risque potentiel pour la sécurité.

Puis-je avoir plusieurs dossiers CAA ?

Absolument. Si vous utilisez plus d'une autorité de certification, il vous suffit de créer un enregistrement CAA distinct pour chaque fournisseur autorisé.

Que se passe-t-il si je n'établis pas de record dans la CAA ?

Si vous n'avez pas d'enregistrement CAA, vous dites essentiellement au monde que vous n'avez pas de préférence. Cela signifie que n'importe laquelle des centaines d'autorités de certification peut délivrer un certificat pour votre domaine, ce qui augmente considérablement la surface d'émission potentielle, qu'elle soit accidentelle ou malveillante.

• À propos de
• Derniers messages

Yunes Tarada

Expert en sécurité des domaines et des courriels chez PowerDMARC

Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.

Derniers messages de Yunes Tarada (voir tous)

• SPF : réduisez les requêtes SPF et optimisez votre SPF - 25 mars 2026
• Certificat de marque vérifiée ou certificat de marque commune : choisir la bonne option - 10 mars 2026
• Contournement du niveau de confiance anti-spam (SCL) -1 : ce que cela signifie et comment y remédier - 4 mars 2026