FAQ sur la CAA (Certification Authority Authorization)

Cet article répond à plusieurs questions courantes sur les enregistrements DNS CAA.


Qu’est-ce que CAA ?

Un enregistrement CAA (Certificate Authority Authorization) permet aux propriétaires de domaine de limiter l’émission à certaines autorités de certification CA (Certificate Authorities). Les enregistrements CAA empêchent les autorités de certification d’émettre des certificats dans certaines circonstances.  Reportez-vous à la documentation RFC 6844 pour en savoir plus.


Comment Cloudflare évalue-t-il les enregistrements CAA ?

Les enregistrements CAA sont évalués par une CA et non par Cloudflare.

La définition d’un enregistrement CAA pour spécifier une ou plusieurs CA particulières, n’a aucun effet sur la ou les CA que Cloudflare utilisera pour émettre un certificat SSL Universal ou Dedicated pour votre domaine.

Pourquoi dois-je désactiver Universal SSL si mes enregistrements CAA excluent l’émission Universal SSL ?

Les certificats Universal SSL étant partagés entre les clients, vos enregistrements CAA peuvent empêcher l’émission d’un Universal SSL pour un autre client. Par conséquent, Cloudflare doit désactiver Universal SSL pour votre domaine afin de garantir que vos enregistrements CAA n’affectent pas un autre client.

Les enregistrements CAA sont automatiquement ajoutés pour les fournisseurs CA Universal SSL comodoca.com, digicert.com et letsencrypt.org, si Universal SSL de Cloudflare est activé pour votre domaine.

Si vous n’avez pas besoin de ce certificat de la part de Cloudflare, désactivez Universal SSL dans l’application SSL/TLS.

Désactiver Universal SSL laissera les enregistrements DNS activés pour Cloudflare sans la prise en charge de SSL, à moins que vous n’ayez chargé un certificat SSL personnalisé (seulement avec Business ou Enterprise Plan).

Quels enregistrements sont ajoutés pour garder Universal SSL activé ?

Les enregistrements DNS suivants sont automatiquement définis si vous continuez à utiliser les certificats Universal SSL gratuits de Cloudflare :

exemple.com. IN CAA 0 issue "comodoca.com"exemple.com. IN CAA 0 issue "digicert.com"exemple.com. IN CAA 0 issue "letsencrypt.org"exemple.com. IN CAA 0 issuewild "comodoca.com"exemple.com. IN CAA 0 issuewild "digicert.com"exemple.com. IN CAA 0 issuewild "letsencrypt.org"
N’utilisez pas l’option Autoriser uniquement les jokers pour l’enregistrement racine (qui renvoie uniquement les enregistrements issuewild) pour tout domaine qui utilisera Universal SSL de Cloudflare.

Utilisé seul, issuewild n’autorise que l’émission de jokers.  Par conséquent, Cloudflare ne peut pas ajouter votre domaine racine au certificat, sauf si vous spécifiez l’option Autoriser les jokers et les noms d’hôte spécifiques dans la liste déroulante Balise :

configuring_caa_records_comodoca_annotated.png


Que se passe-t-il quand Universal SSL est désactivé ?

Votre nom de domaine est immédiatement supprimé du certificat Universal SSL et vos utilisateurs vont rencontrer des erreurs SSL, à moins que vous ne chargiez un certificat SSL personnalisé (ce qui nécessite un Business ou Enterprise Plan).


Comment réactiver Universal SSL ?

Ouvrez un ticket auprès du support Cloudflare.


Quels sont les dangers de définir des enregistrements CAA ?

Si vous faites partie d’une grande entreprise ou si plusieurs parties sont chargées d’obtenir des certificats SSL, incluez les enregistrements CAA qui permettent l’émission de tous les CA applicables à votre entreprise.  Si vous ne le faites pas, vous risquez de bloquer par inadvertance l’émission SSL pour d’autres parties de votre entreprise.

 

 

Vous n'avez toujours pas trouvé ce que vous cherchez ?

95% des questions peuvent être répondues en utilisant l'outil de recherche. C'est le moyen le plus rapide d'obtenir une réponse.

Réalisé par Zendesk