Aller au contenu principal
Sécurité web dans l'UE : 10 étapes pour une meilleure note · Partie 8

Enregistrements CAA : qui est autorisé à émettre des certificats pour votre domaine ?

97% des domaines de l'UE n'ont pas d'enregistrement CAA. N'importe quelle CA au monde peut émettre un certificat valide pour eux. Une seule entrée DNS change cela.

· SiteGuardian

Partie 8 de la série « Sécurité web dans l'UE : 10 étapes pour une meilleure note »

Le problème

Il existe des centaines d'autorités de certification (CA) dans le monde. Chacune d'entre elles peut émettre un certificat TLS valide pour n'importe quel domaine — à moins qu'un enregistrement CAA dise explicitement : « seulement cette CA ».

Sans CAA : Un attaquant qui compromet n'importe quelle CA (ou en utilise une dans une juridiction avec une supervision minimale) peut émettre un certificat valide pour votre-domaine.com. Les navigateurs l'acceptent sans avertissement.

Avec CAA : La CA vérifie l'enregistrement CAA avant l'émission. Si elle n'est pas dans la liste, elle refuse.

Adoption de CAA dans l'UE : 3%. 97% des domaines font aveuglément confiance à toutes les CA du monde.

Comment configurer CAA

Un enregistrement CAA est une entrée DNS (type CAA) :

votre-domaine.com. IN CAA 0 issue "letsencrypt.org"
votre-domaine.com. IN CAA 0 issuewild ";"
votre-domaine.com. IN CAA 0 iodef "mailto:security@votre-domaine.com"
  • issue "letsencrypt.org" — seul Let's Encrypt peut émettre des certificats standard
  • issuewild ";" — personne ne peut émettre de certificats wildcard
  • iodef "mailto:..." — notification en cas de violation de la politique

Autoriser plusieurs CAs

votre-domaine.com. IN CAA 0 issue "letsencrypt.org"
votre-domaine.com. IN CAA 0 issue "digicert.com"

Noms de CA par fournisseur

CA Valeur CAA
Let's Encrypt letsencrypt.org
DigiCert digicert.com
Sectigo (Comodo) sectigo.com
GlobalSign globalsign.com
Amazon/ACM amazon.com
Google Trust pki.goog

Erreurs courantes

1. Configurer CAA sans savoir quelle CA a émis le certificat actuel. Vérifiez d'abord : openssl s_client -connect votre-domaine.com:443 | openssl x509 -noout -issuer. Ajoutez cette CA à votre enregistrement.

2. Oublier les wildcards. issuewild est séparé de issue. Sans un issuewild explicite, n'importe quelle CA peut émettre un certificat wildcard — même si issue est restreint.

3. Ignorer les sous-domaines. CAA est hérité hiérarchiquement. Un enregistrement sur votre-domaine.com s'applique aussi à www.votre-domaine.com — sauf si le sous-domaine a son propre enregistrement CAA.

Vérifiez votre domaine

https://siteguardian.io/scan

La semaine prochaine dans la Partie 9 : Conformité des cookies — cookies pré-consentement, transferts vers des tiers, et ce que la CNIL, l'AEPD et la CJUE en disent.

Comment votre site se compare-t-il ?

SiteGuardian analyse votre domaine selon six dimensions de sécurité — gratuit, instantané, sans inscription.

Scanner votre site

Sécurité web dans l'UE : 10 étapes pour une meilleure note

Cet article fait partie d'une série hebdomadaire sur les bonnes pratiques de sécurité web en UE.

SiteGuardian

2026-06-01

RSS