Quelles CA peuvent émettre des certificats
DNS et enregistrements
Lookup DNS Tous les enregistrements DNS d'un domaine Lookup d'enregistrement A Adresses IPv4 d'un domaine Lookup d'enregistrement AAAA Adresses IPv6 d'un domaine Lookup MX Serveurs de messagerie d'un domaine Lookup NS Serveurs de noms faisant autorité Lookup TXT Enregistrements TXT, SPF, vérification Lookup CNAME Enregistrements de nom canonique (alias) Lookup SOA Enregistrement Start of Authority Lookup SRV Enregistrements de localisation de service Lookup CAA Quelles CA peuvent émettre des certificats DNS inversé (PTR) Adresse IP vers nom d'hôte Vérification DNSSEC Le domaine est-il signé et validé ? Diagnostic DNS Un bilan complet de délégation et de DNSDélivrabilité des e-mails
Vérification SPF Validez votre enregistrement Sender Policy Framework Vérification DMARC Inspectez et évaluez votre politique DMARC Vérification DKIM Trouvez et validez votre clé publique DKIM Vérification de liste noire Vérifiez une IP face aux listes de blocage e-mail (DNSBL) Test SMTP Connectez-vous à un serveur de messagerie et vérifiez STARTTLS Vérification MTA-STS Politique TLS imposée pour le courrier entrant Vérification BIMI Enregistrement de logo de marque pour l'e-mail Vérification TLS-RPT Politique de rapport TLS SMTPRéseau et web
Vérification de certificat SSL Inspectez le certificat TLS d'un site et son expiration Vérification des en-têtes HTTP Inspectez les en-têtes de réponse, redirections et sécurité Ping (TCP) Accessibilité et latence via TCP Vérification de ports Quels ports courants sont ouvertsDomaine
Lookup WHOIS Données d'enregistrement pour domaines, IP et ASNUn enregistrement CAA (Certification Authority Authorization) permet à un domaine de déclarer quelles autorités de certification sont autorisées à émettre des certificats pour lui. Le CA/Browser Forum impose aux autorités de respecter ces enregistrements, ce qui réduit le risque d'émission erronée — une autorité émettant à tort un certificat pour votre domaine. CAA est un garde-fou simple et puissant pour vos certificats TLS.
Un enregistrement CAA nomme une autorité de certification autorisée par son domaine. Avant d'émettre, une autorité conforme consulte les enregistrements CAA de votre domaine ; si des enregistrements existent et qu'aucun ne mentionne cette autorité, elle doit refuser. L'enregistrement comporte trois parties : un drapeau (flag), une étiquette (tag) et une valeur. Les étiquettes courantes sont issue (autorise une autorité à émettre des certificats standard), issuewild (contrôle spécifiquement les certificats génériques) et iodef (une URL ou un mailto où les autorités signalent les violations de politique). Par exemple, issue "letsencrypt.org" n'autorise que Let's Encrypt à émettre.
IPeek liste les enregistrements CAA du domaine, chacun avec son étiquette et sa valeur. Lisez les étiquettes issue pour voir quelles autorités sont autorisées — une valeur comme "letsencrypt.org" ou "digicert.com" nomme l'autorité permise. Une étiquette issuewild restreint qui peut émettre des certificats génériques. Une valeur issue de ";" (point-virgule) signifie qu'aucune autorité n'est autorisée. Si le domaine n'a aucun enregistrement CAA, n'importe quelle autorité publique peut émettre, ce qui est le comportement permissif par défaut. Vérifiez que les autorités listées correspondent aux fournisseurs que vous utilisez réellement pour vos certificats.
Sans CAA, n'importe laquelle des dizaines d'autorités de certification publiques peut émettre un certificat pour votre domaine : une seule autorité compromise ou trompée suffit alors à un attaquant pour obtenir un certificat valide. CAA réduit cette surface d'attaque aux seules autorités que vous nommez. Comme le CA/Browser Forum impose aux autorités de vérifier le CAA avant d'émettre, la protection est appliquée à l'échelle du secteur. Ajoutez l'étiquette iodef et les autorités autorisées pourront vous signaler les tentatives de violation de politique, vous alertant tôt si quelqu'un tente d'obtenir un certificat qu'il ne devrait pas.
Sans enregistrement CAA, n'importe quelle autorité de certification publiquement reconnue est autorisée à émettre des certificats pour le domaine — c'est le comportement permissif par défaut. Ajouter des enregistrements CAA restreint l'émission aux seules autorités que vous listez. Si la question de savoir quelles autorités peuvent certifier votre domaine vous importe, publiez des enregistrements CAA ; sinon, l'émission reste ouverte à toutes les autorités conformes.
Ce sont les trois étiquettes CAA standard. issue autorise une autorité nommée à émettre des certificats ordinaires, issuewild contrôle spécifiquement l'émission de certificats génériques, et iodef indique une URL ou une adresse mailto où les autorités signalent les tentatives de violation de politique. Utiliser issue avec iodef restreint à la fois qui peut certifier votre domaine et vous alerte en cas de violation.
Oui. Selon les règles du CA/Browser Forum, les autorités publiquement reconnues sont tenues de vérifier les enregistrements CAA d'un domaine avant d'émettre et doivent refuser si les enregistrements ne les autorisent pas. Cela fait de CAA un contrôle imposé et non une simple suggestion. Cela n'invalide pas un certificat déjà émis, mais bloque toute nouvelle émission erronée par les autorités conformes.
Publiez un enregistrement CAA issue distinct pour chaque autorité que vous souhaitez autoriser. Par exemple, un enregistrement avec issue "letsencrypt.org" et un autre avec issue "digicert.com" autorisent les deux. Les autorités vérifient si un enregistrement les nomme : plusieurs enregistrements issue élargissent donc simplement l'ensemble des autorités autorisées, tout en excluant toutes les autres.
Oui, c'est précisément le rôle de l'étiquette issuewild. issuewild régit qui peut émettre des certificats génériques (comme *.example.com), en supplantant l'étiquette issue ordinaire pour les certificats génériques. Vous pouvez autoriser une autorité à émettre des certificats ordinaires tout en restreignant ou interdisant les génériques, ou l'inverse, en combinant judicieusement les enregistrements issue et issuewild.