Le DNS CAA

Qu'est-ce que le DNS CAA ?


Le DNS CAA, pour Domain Name System Certification Authority Authorization (ou Système de Noms de Domaine avec Autorisation d'Autorité de Certification), est une spécificité du service DNS qui permet au titulaire d'un nom de domaine de créer une liste blanche des autorités de certification qu'il souhaite autoriser à émettre des certificats pour son site web.

A quoi sert le DNS CAA ?


Le DNS CAA a été créé afin de permettre au titulaire d'un domaine d'ajouter une sécurité supplémentaire lors de l'émission de certificats pour les sites qu'il gère.


En effet, pour chacun de ses sites, il est possible de spécifier une liste d'autorités de certification autorisées à émettre des certificats.


L'intérêt d'un tel système prend tout son sens suite à l'essor des certificats générés "à la volée". Ces types de certificat sont émis sans aucune vérification sur le titulaire du domaine (existence de la société, validation d'identités...). Il est alors facile pour n'importe quelle personne de demander un certificat pour un domaine ne lui appartenant pas.


Le DNS CAA permet donc au titulaire d'un nom de domaine de spécifier les autorités en qui il a confiance, plus particulièrement celles qui effectuent des vérifications sur l'identité du propriétaire du site web.


Comment Certigna gère le DNS CAA ?


Certigna étant une autorité normée ETSI, RGS et suivant les recommandations du CA/B FORUM, nous effectuons systématiquement des vérifications avant d'émettre un certificat.


Ces contrôles permettent d'assurer l'existence de la société, de vérifier l'identité du demandeur et du représentant légal de la société. C'est pourquoi, Certigna se réserve le droit d'émettre un certificat même si elle ne figure pas dans la liste des autorités autorisées.


Dans ce cas, le demandeur du certificat en sera informé lors de la validation du dossier de demande.


Comment ajouter Certigna à ma liste d'autorités autorisées ?


Il faut savoir que cette extension étant récente, il est possible qu'elle ne soit pas encore gérée sur votre serveur, nous vous invitons donc à vous rapprocher de votre hébergeur ou de votre administrateur réseau pour plus d'informations à ce sujet.


Plusieurs syntaxes existent pour ajouter un enregistrement DNS CAA en fonction de votre serveur.



Syntaxe n°1

example.com. IN  CAA 0 issue "certigna.fr"

Syntaxe n°2

example.com. IN  TYPE257 \# 18 000569737375656365727469676e612e6672

Syntaxe n°3

0 issue "certigna.fr"


Voici une liste non exhaustive des serveurs gérant le DNS CAA, avec la syntaxe à utiliser :
  • BIND, syntaxe n°2 < version 9.9.6 >= syntaxe n°1
  • NSD, syntaxe n°2 < version 4.0.1 >= syntaxe n°1
  • PowerDNS, version 4.0.0 >= syntaxe n°1
  • Knot DNS, version 2.2.0 >= syntaxe n°1
  • Windows Server 2016, syntaxe n°2
  • Tinydns, syntaxe n°3
  • Google Cloud DNS, syntaxe n°3
  • DNSimple, syntaxe n°3
Récupération des commandes...
Veuillez patienter