CAA : Certificate Authority Authorization

De Docaposte Cyberdéfense
Aller à : navigation, rechercher
DocapostCyberdefense.logo15.textlong.green.png
Centre Opérationnel de Sécurité et de Cyberdéfense

CAA : Certificate Authority Authorization
Classification : C1

Gestion du document

Date de la première version :

27/08/2018

Date de la dernière version :

27/08/2018

Version :

1.0

Source :

ANSSI  : Agence National de la Sécurité des Systèmes d'Information
COSC  : Centre Opérationnel de Sécurité et de Cyberdéfense

Préambule

Plus d'une centaine d'organisations, appelées autorités de certification, peuvent émettre des certificats SSL garantissant l'identité d'un domaine. CAA (Certificate Authority Authorization) permet de déclarer les autorités de certification utilisée réellement, interdisant aux autres d’émettre des certificats pour un domaine.

Voici quelques raisons pour lesquelles il faut utiliser CAA:

  • Réduire les risques liés aux autorités de certification non sécurisées
  • Utiliser CAA pour limiter le domaine aux autorités de certification dont vous ne faites pas confiance pour émettre des certificats non autorisés.
  • Empêcher quiquonque d’obtenir des certificats de fournisseurs non autorisés.

La mise en place de CAA est facile. Publiez les enregistrements DNS générés dans la zone DNS du domaine. Le domaine doit être hébergé sur un service DNS prenant en charge CAA.

CAA est une norme IETF définie par la RFC 6844. Depuis le 8 septembre 2017, toutes les autorités de certification publiques sont tenues de respecter les enregistrements CAA. Avant de délivrer un certificat pour un domaine, ils doivent vérifier les enregistrements CAA pour le domaine et refuser d'émettre si le jeu d'enregistrements CAA ne les autorise pas. (S'il n'y a pas d'enregistrement CAA, ils sont autorisés à émettre.)


CAA et sous-domaines

Le jeu d'enregistrements CAA pour un domaine s'applique également à tous les sous-domaines. Si un sous-domaine a son propre jeu d'enregistrements CAA, il est prioritaire.

Par exemple, avant qu'une autorité de certification n'émette un certificat pour www.example.com, elle interrogera les domaines pour les jeux d'enregistrements CAA dans l'ordre suivant et utilisera le premier jeu d'enregistrements trouvé:

  • www.exemple.com
  • example.com

CAA et CNAME

Si un nom de domaine est un CNAME (également appelé alias) pour un autre domaine, l'autorité de certification recherche également les jeux d'enregistrements CAA sur la cible CNAME, ainsi que tous les domaines parents de la cible. Si aucun jeu d'enregistrements CAA n'est trouvé, l'autorité de certification continue de rechercher les domaines parents du nom de domaine d'origine.

Par exemple, si blog.example.com est un CNAME pour blog.example.net, l'autorité de certification recherche les jeux d'enregistrements CAA dans l'ordre suivant:

  • blog.example.net
  • example.net
  • example.com

Service DNS supportant CAA

CAA Software.PNG

Récupérée de « https://csirt.docapost.fr/index.php?title=CAA_:_Certificate_Authority_Authorization&oldid=2089 »