Centre d'Assistance
Accueil Domaines Paramètres DNS

Ajouter, modifier ou supprimer un enregistrement CAA

Avec un enregistrement CAA, vous pouvez, en tant que détenteur d'un domaine, déterminer quelles autorités de certification (AC) peuvent délivrer des certificats pour votre domaine ou sous-domaine. L'abréviation CAA signifie Certificate Authority Authorization.

L'ajout d'un enregistrement CAA a pour but d'éviter que des certificats ne soient émis par erreur puis utilisés à mauvais escient pour un domaine ou un sous-domaine.

Lorsque vous créez un enregistrement CAA pour un domaine, l'enregistrement s'applique également à tous ses sous-domaines.
Par exemple : si vous créez un enregistrement CAA pour le domaine exemple.com, l'enregistrement s'applique également au sous-domaine www.exemple.com.

Si vous le souhaitez, vous pouvez ajouter plusieurs enregistrements CAA pour chaque domaine ou sous-domaine. Ceci peut s'avérer nécessaire, par exemple, si vous souhaitez autoriser l'autorité de certification à délivrer à la fois des certificats spécifiques et des certificats wildcard.

Avant de délivrer un certificat, ces enregistrements CAA doivent être vérifiés par l'autorité de certification concernée. Cette dernière peut délivrer le certificat si l'une des conditions suivantes est remplie :

  • L'autorité de certification ne trouve pas d'enregistrement CAA pour votre domaine ou sous-domaine.

  • L'autorité de certification trouve un enregistrement CAA pour votre domaine ou sous-domaine qui l'autorise à émettre un certificat pour votre domaine.

Remarques

  • Si aucun enregistrement CAA n'est configuré, toutes les autorités de certification ont le droit de délivrer un certificat pour le domaine.

  • Si un enregistrement CAA est configuré, seules les autorités de certification mentionnées dans les entrées peuvent délivrer des certificats pour le domaine.

Structure d'un enregistrement CAA

Chaque enregistrement CAA comporte un drapeau et une propriété.

Dans le champ Drapeau, vous pouvez sélectionner 0 (non critique) ou 128 (critique) :

  • 0 (Non critique)  : Si vous activez cette option, les autorités de certification ignoreront toutes les entrées de l'enregistrement CAA qui ne peuvent pas être évaluées.
  • 128 (Critique) : Si vous activez cette option, les autorités de certification ne délivreront pas de certificat si des entrées de l'enregistrement CAA ne peuvent pas être évaluées.

Dans le champ Type, vous pouvez sélectionner l'une des 3 propriétés suivantes :

  • Issue - Spécifier une autorité de certification (AC) : Spécifie que l'autorité de certification définie dans le champ Valeur peut émettre un certificat pour le domaine ou le sous-domaine.

  • Issuewild - L'organisme de certification est autorisé à réémettre des certificats wildcard : Spécifie que l'autorité de certification définie dans le champ Valeur peut délivrer des certificats wildcard pour le domaine ou le sous-domaine. Si vous sélectionnez la propriété Issuewild, l'autorité de certification peut ne pas délivrer de certificat spécifique pour le domaine. Pour permettre à l'autorité de certification de créer des certificats spécifiques pour le domaine, vous devez configurer un enregistrement CAA séparé avec la propriété Issue - Spécifier une autorité de certification (AC).

  • Iodef - Fournir une adresse email de contact à l'autorité de certification (CA) : Si vous sélectionnez cette propriété, vous pouvez spécifier une option de contact pour l'autorité de certification. Vous avez ici la possibilité d'indiquer soit une adresse email, soit une URL. Veuillez noter que cette propriété n'est pas prise en charge par toutes les autorités de certification.

Exemples
  • Dans l'exemple ci-dessous, le drapeau 128 (Critique) et le type Issue - Spécifier une autorité de certification (AC) ont été sélectionnés pour le domaine exemple.com.
    digicert.com a été saisi comme autorité de certification (AC). Ces entrées permettent à l'autorité de certification Digicert d'émettre des certificats simples.


     
  • Dans l'exemple ci-dessous, Digicert est autorisé à créer des certificats wildcard :


     
  • Pour interdire l'émission de certificats simples et de certificats wildcard pour le domaine exemple.com, vous devez créer deux enregistrements CAA qui contiennent un point-virgule dans le champ Valeur. Par exemple :


     
  • Dnas l'exemple ci-dessous, une adresse email de contact a été indiquée pour l'autorité de certification :

Vos changements prennent effet immédiatement chez IONOS. Cependant, le changement peut prendre jusqu'à 1 heure pour prendre effet partout, en raison de la structure décentralisée du système de noms de domaine.

Ajouter un enregistrement CAA

  • Rendez-vous dans la section Domaines et SSL : Me connecter et accéder à la section Domaines et SSLAccéder à la section Domaines et SSL

  • Au niveau du nom de domaine souhaité, cliquez sur le symbole de roue dentée   sous Actions puis sur DNS.

  • Cliquez sur Ajouter un enregistrement et sélectionnez CAA .

  • Dans le champ Nom d'hôte, indiquez l'hôte souhaité, tel que www ou @. Le caractère @ est utilisé comme caractère générique et garantit l'accès au domaine via www et tous les sous-domaines.

  • Dans le champ Valeur, saisissez la valeur appropriée. Elle peut être obtenue auprès de l'autorité de certification concernée. Si vous avez acheté un certificat SSL chez IONOS, entrez la valeur digicert.com.

  • Sélectionnez le drapeau souhaité.

  • Sélectionnez le type désiré.

  • Optionnel : Sélectionnez le TTL(Time-To-Live) désiré. Par défaut, vos réglages sont immédiatement actifs.

  • Cliquez sur Enregistrer.

Modifier un enregistrement CAA

Les enregistrements CAA existants sont affichés dans la Gestion DNS du domaine concerné. Vous pouvez modifier n'importe quel enregistrement CAA dans cette zone à tout moment.

Supprimer un enregistrement CAA

Vous pouvez supprimer un enregistrement CAA à tout moment :

Contenu