Un enregistrement DNS CAA peut bloquer l'émission du certificat
Un DNS d'autorisation d'autorité de certification (CAA) permet au propriétaire de site web d’indiquer une autorité de certification qui est autorisée à émettre un certificat pour votre domaine. La présence d'enregistrement CAA empêche l'émission d'un certificat par une autorité non souhaitée et, souvent, il bloque l'émission des certificats de DigiCert pour vous, nos clients. Allons donc voir comment procéder.
Pourquoi on utilise des enregistrements DNS CAA
Avant l'émission d'un certificat SSL/TLS pour votre domaine, l'autorité de certification (DigiCert) vérifie les enregistrements DNS CAA pour déterminer, si elle peut émettre un certificat pour votre domaine. Si l’enregistrement CAA indique une AC différente, les autres AC sont exclues. Tous les AC dans le monde doivent désormais respecter l'enregistrement CAA, et le propriétaire du domaine dispose donc d'un outil puissant pour le protéger. L'enregistrement CAA empêche souvent l'émission des certificats DigiCert, sans qu'on le sache. Nous allons vous montrer comment gérer cette situation.
Émission de certificat refusée ?
Avant d'émettre un certificat SSL, Digicert procède à une vérification rigoureuse de l'organisation. Le propriétaire du domaine doit également prouver qu'il a le contrôle sur celui-ci. Cela inclut la vérification des enregistrements d'autorisation d'autorité de certification (CAA), que l'autorité de certification (AC) est tenue de respecter.
Pour suivre l'état de la validation, vous pouvez toujours consulter votre espace client. Si un enregistrement CAA empêche l'émission du certificat, seules les personnes disposant de l'accès aux enregistrements DNS du domaine peuvent effectuer les modifications nécessaires.
Vérifiez vos enregistrements DNS CAA
Pour vérifier vos enregistrements CAA, ouvrez un outil de vérificateur DNS, comme Google Dig, ou utilisez la commande 'dig' dans votre ligne de commande. Assurez-vous que vos enregistrements CAA sont correctement configurés. Si vous utilisez Google Dig, saisissez votre nom de domaine et sélectionnez le type CAA.
Vous obtiendrez le résultat instantanément. Si aucun enregistrement CAA n'existe, le message "Record not found!" s'affichera, indiquant qu'aucune restriction d'émission ne peut bloquer l'obtention d'un certificat.
Par exemple, si l'enregistrement CAA spécifie que seule l'autorité de certification "letsencrypt.org" est autorisée à émettre des certificats pour le nom de domaine "domaine.fr", alors DigiCert ne pourra pas émettre un certificat pour ce domaine.
;; ANSWER SECTION:
domaine.fr 600 IN CAA 1 issue "letsencrypt.org"
Modifiez ou supprimez un enregistrement CAA
Si une autorité de certification non souhaitée est spécifiée dans vos enregistrements DNS CAA, il est important de mettre à jour la zone DNS de votre domaine. Vous devez contacter votre administrateur de domaine apporter ces modifications, car nous n'avons pas accès à vos enregistrements DNS.
2 options s'offrent à vous :
- **Ajouter un nouvel enregistrement CAA** : Ajoutez "digicert.com" à vos enregistrements pour permettre à Digicert d'émettre des certificats pour votre domaine.
- **Supprimer l'enregistrement CAA** : Optez pour cette solution si vous ne souhaitez pas restreindre l'émission de certificats par une vérification CAA.
Dans notre cas, les enregistrements CAA pourraient ressembler à ceci :
;; ANSWER SECTION:
domaine.fr 600 IN CAA 1 issue "letsencrypt.org"
domaine.fr 600 IN CAA 1 issue "digicert.com"
Vérifiez que vos modifications DNS ont été correctement appliquées. La propagation des modifications apportées aux enregistrements DNS peut prendre jusqu'à 2 heures. Une fois que l'AC DigiCert le prenne en compte, le certificat pourra être délivré. N'hésitez pas à nous contacter si vous rencontrez des problèmes. Notre service client est à votre disposition.
Nous sommes désolés que vous n'ayez pas trouvé les informations que vous recherchiez.
Aidez-nous à améliorer cet article. Vous cherchez autre chose ? N'hésitez pas à nous écrire.