CAA : Certificate Authority Authorization

Centre Opérationnel de Sécurité et de Cyberdéfense CAA : Certificate Authority Authorization DRAFT

Gestion du document

Préambule

Plus d'une centaine d'organisations, appelées autorités de certification, peuvent émettre des certificats SSL garantissant l'identité d'un domaine. CAA (Certificate Authority Authorization) permet de déclarer les autorités de certification utilisée réellement, interdisant aux autres d’émettre des certificats pour un domaine.

Voici quelques raisons pour lesquelles il faut utiliser CAA:

• Réduire les risques liés aux autorités de certification non sécurisées
• Utiliser CAA pour limiter le domaine aux autorités de certification dont vous ne faites pas confiance pour émettre des certificats non autorisés.
• Empêcher quiquonque d’obtenir des certificats de fournisseurs non autorisés.

La mise en place de CAA est facile. Publiez eles enregistrements DNS générés dans la zone DNS du domaine. Le domaine doit être hébergé sur un service DNS prenant en charge CAA.

CAA est une norme IETF définie par la RFC 6844. Depuis le 8 septembre 2017, toutes les autorités de certification publiques sont tenues de respecter les enregistrements CAA. Avant de délivrer un certificat pour un domaine, ils doivent vérifier les enregistrements CAA pour le domaine et refuser d'émettre si le jeu d'enregistrements CAA ne les autorise pas. (S'il n'y a pas d'enregistrement CAA, ils sont autorisés à émettre.)

CAA et sous-domaines

Le jeu d'enregistrements CAA pour un domaine s'applique également à tous les sous-domaines. Si un sous-domaine a son propre jeu d'enregistrements CAA, il est prioritaire.

Par exemple, avant qu'une autorité de certification n'émette un certificat pour www.example.com, elle interrogera les domaines pour les jeux d'enregistrements CAA dans l'ordre suivant et utilisera le premier jeu d'enregistrements trouvé:

• www.exemple.com
• example.com