CAA : Certificate Authority Authorization : Différence entre versions
| Ligne 35 : | Ligne 35 : | ||
==== <div style="background-color: #81BEF7">'''Préambule'''</div> ==== | ==== <div style="background-color: #81BEF7">'''Préambule'''</div> ==== | ||
| + | |||
| + | Plus d'une centaine d'organisations, appelées autorités de certification, peuvent émettre des certificats SSL garantissant l'identité d'un domaine. CAA (Certificate Authority Authorization) permet de déclarer les autorités de certification utilisée réellement, interdisant aux autres d’émettre des certificats pour un domaine. | ||
| + | |||
| + | Voici quelques raisons pour lesquelles il faut utiliser CAA: | ||
| + | |||
| + | *Réduire les risques liés aux autorités de certification non sécurisées | ||
| + | *Utiliser CAA pour limiter le domaine aux autorités de certification dont vous ne faites pas confiance pour émettre des certificats non autorisés. | ||
| + | *Empêcher quiquonque d’obtenir des certificats de fournisseurs non autorisés. | ||
| + | |||
| + | La mise en place de CAA est facile. Publiez eles enregistrements DNS générés dans la zone DNS du domaine. Le domaine doit être hébergé sur un service DNS prenant en charge CAA. | ||
| + | |||
| + | CAA est une norme IETF définie par la RFC 6844. Depuis le 8 septembre 2017, toutes les autorités de certification publiques sont tenues de respecter les enregistrements CAA. Avant de délivrer un certificat pour un domaine, ils doivent vérifier les enregistrements CAA pour le domaine et refuser d'émettre si le jeu d'enregistrements CAA ne les autorise pas. (S'il n'y a pas d'enregistrement CAA, ils sont autorisés à émettre.) | ||
Version du 28 août 2018 à 11:33
 |
Centre Opérationnel de Sécurité et de Cyberdéfense
CAA : Certificate Authority Authorization |
Gestion du document
|
Date de la première version : |
27/08/2018 |
|
Date de la dernière version : |
27/08/2018 |
|
Version : |
1.0 |
|
Source : |
ANSSI : Agence National de la Sécurité des Systèmes d'Information |
Préambule
Plus d'une centaine d'organisations, appelées autorités de certification, peuvent émettre des certificats SSL garantissant l'identité d'un domaine. CAA (Certificate Authority Authorization) permet de déclarer les autorités de certification utilisée réellement, interdisant aux autres d’émettre des certificats pour un domaine.
Voici quelques raisons pour lesquelles il faut utiliser CAA:
- Réduire les risques liés aux autorités de certification non sécurisées
- Utiliser CAA pour limiter le domaine aux autorités de certification dont vous ne faites pas confiance pour émettre des certificats non autorisés.
- Empêcher quiquonque d’obtenir des certificats de fournisseurs non autorisés.
La mise en place de CAA est facile. Publiez eles enregistrements DNS générés dans la zone DNS du domaine. Le domaine doit être hébergé sur un service DNS prenant en charge CAA.
CAA est une norme IETF définie par la RFC 6844. Depuis le 8 septembre 2017, toutes les autorités de certification publiques sont tenues de respecter les enregistrements CAA. Avant de délivrer un certificat pour un domaine, ils doivent vérifier les enregistrements CAA pour le domaine et refuser d'émettre si le jeu d'enregistrements CAA ne les autorise pas. (S'il n'y a pas d'enregistrement CAA, ils sont autorisés à émettre.)