CAA (Certification Authority Authorization) est un enregistrement DNS apparu en 2017 dans le but de permettre ou d'interdire à certaines autorités de certification d'émettre des certificats SSL pour un domaine. Avant d'émettre un certificat, les autorités de certification effectuent une demande et vérifient les enregistrements dans les paramètres DNS du domaine.
Dans le cas où un pirate obtient temporairement l'accès à votre domaine, il pourrait avoir la possibilité d'émettre un certificat pour votre domaine dans le but d'intercepter les données. La présence d'un enregistrement CAA, en fonction des paramètres, complique considérablement ou interdit totalement cela.
Les services d'hébergement virtuel et d'hébergement DNS prennent en charge ce type d'enregistrement, et si vous le souhaitez, vous pouvez les ajouter.
Format de l'enregistrement :
CAA <flags> <tag> <value>
1. Exemple. Interdire à toutes les autorités de certification d'émettre des certificats
domain.tld. IN CAA 0 issue ";"
2. Exemple. Autoriser uniquement certaines autorités de certification à émettre des certificats et interdire les autres
domain.tld. IN CAA 0 issue "comodoca.com"
domain.tld. IN CAA 0 issue "letsencrypt.org"
domain.tld. IN CAA 0 issuewild ";"
Pour générer un enregistrement en ligne, vous pouvez utiliser le service pratique de création d'enregistrements CAA.