Outils de diagnostic réseau

Lookup CAA

Quelles CA peuvent émettre des certificats

esc
Votre IP 8.8.8.8 ou google.com

DNS et enregistrements

Lookup DNS Tous les enregistrements DNS d'un domaine Lookup d'enregistrement A Adresses IPv4 d'un domaine Lookup d'enregistrement AAAA Adresses IPv6 d'un domaine Lookup MX Serveurs de messagerie d'un domaine Lookup NS Serveurs de noms faisant autorité Lookup TXT Enregistrements TXT, SPF, vérification Lookup CNAME Enregistrements de nom canonique (alias) Lookup SOA Enregistrement Start of Authority Lookup SRV Enregistrements de localisation de service Lookup CAA Quelles CA peuvent émettre des certificats DNS inversé (PTR) Adresse IP vers nom d'hôte Vérification DNSSEC Le domaine est-il signé et validé ? Diagnostic DNS Un bilan complet de délégation et de DNS

Délivrabilité des e-mails

Vérification SPF Validez votre enregistrement Sender Policy Framework Vérification DMARC Inspectez et évaluez votre politique DMARC Vérification DKIM Trouvez et validez votre clé publique DKIM Vérification de liste noire Vérifiez une IP face aux listes de blocage e-mail (DNSBL) Test SMTP Connectez-vous à un serveur de messagerie et vérifiez STARTTLS Vérification MTA-STS Politique TLS imposée pour le courrier entrant Vérification BIMI Enregistrement de logo de marque pour l'e-mail Vérification TLS-RPT Politique de rapport TLS SMTP

Réseau et web

Vérification de certificat SSL Inspectez le certificat TLS d'un site et son expiration Vérification des en-têtes HTTP Inspectez les en-têtes de réponse, redirections et sécurité Ping (TCP) Accessibilité et latence via TCP Vérification de ports Quels ports courants sont ouverts

Domaine

Lookup WHOIS Données d'enregistrement pour domaines, IP et ASN

Qu'est-ce qu'un enregistrement CAA ?

Un enregistrement CAA (Certification Authority Authorization) permet à un domaine de déclarer quelles autorités de certification sont autorisées à émettre des certificats pour lui. Le CA/Browser Forum impose aux autorités de respecter ces enregistrements, ce qui réduit le risque d'émission erronée — une autorité émettant à tort un certificat pour votre domaine. CAA est un garde-fou simple et puissant pour vos certificats TLS.

Comment fonctionnent les enregistrements CAA

Un enregistrement CAA nomme une autorité de certification autorisée par son domaine. Avant d'émettre, une autorité conforme consulte les enregistrements CAA de votre domaine ; si des enregistrements existent et qu'aucun ne mentionne cette autorité, elle doit refuser. L'enregistrement comporte trois parties : un drapeau (flag), une étiquette (tag) et une valeur. Les étiquettes courantes sont issue (autorise une autorité à émettre des certificats standard), issuewild (contrôle spécifiquement les certificats génériques) et iodef (une URL ou un mailto où les autorités signalent les violations de politique). Par exemple, issue "letsencrypt.org" n'autorise que Let's Encrypt à émettre.

Comment lire les résultats de votre recherche CAA

IPeek liste les enregistrements CAA du domaine, chacun avec son étiquette et sa valeur. Lisez les étiquettes issue pour voir quelles autorités sont autorisées — une valeur comme "letsencrypt.org" ou "digicert.com" nomme l'autorité permise. Une étiquette issuewild restreint qui peut émettre des certificats génériques. Une valeur issue de ";" (point-virgule) signifie qu'aucune autorité n'est autorisée. Si le domaine n'a aucun enregistrement CAA, n'importe quelle autorité publique peut émettre, ce qui est le comportement permissif par défaut. Vérifiez que les autorités listées correspondent aux fournisseurs que vous utilisez réellement pour vos certificats.

Pourquoi les enregistrements CAA renforcent la sécurité des certificats

Sans CAA, n'importe laquelle des dizaines d'autorités de certification publiques peut émettre un certificat pour votre domaine : une seule autorité compromise ou trompée suffit alors à un attaquant pour obtenir un certificat valide. CAA réduit cette surface d'attaque aux seules autorités que vous nommez. Comme le CA/Browser Forum impose aux autorités de vérifier le CAA avant d'émettre, la protection est appliquée à l'échelle du secteur. Ajoutez l'étiquette iodef et les autorités autorisées pourront vous signaler les tentatives de violation de politique, vous alertant tôt si quelqu'un tente d'obtenir un certificat qu'il ne devrait pas.

Questions fréquentes

Que se passe-t-il si un domaine n'a pas d'enregistrement CAA ?

Sans enregistrement CAA, n'importe quelle autorité de certification publiquement reconnue est autorisée à émettre des certificats pour le domaine — c'est le comportement permissif par défaut. Ajouter des enregistrements CAA restreint l'émission aux seules autorités que vous listez. Si la question de savoir quelles autorités peuvent certifier votre domaine vous importe, publiez des enregistrements CAA ; sinon, l'émission reste ouverte à toutes les autorités conformes.

Que sont les étiquettes issue, issuewild et iodef ?

Ce sont les trois étiquettes CAA standard. issue autorise une autorité nommée à émettre des certificats ordinaires, issuewild contrôle spécifiquement l'émission de certificats génériques, et iodef indique une URL ou une adresse mailto où les autorités signalent les tentatives de violation de politique. Utiliser issue avec iodef restreint à la fois qui peut certifier votre domaine et vous alerte en cas de violation.

Les autorités de certification sont-elles obligées de respecter les enregistrements CAA ?

Oui. Selon les règles du CA/Browser Forum, les autorités publiquement reconnues sont tenues de vérifier les enregistrements CAA d'un domaine avant d'émettre et doivent refuser si les enregistrements ne les autorisent pas. Cela fait de CAA un contrôle imposé et non une simple suggestion. Cela n'invalide pas un certificat déjà émis, mais bloque toute nouvelle émission erronée par les autorités conformes.

Comment autoriser plusieurs autorités de certification ?

Publiez un enregistrement CAA issue distinct pour chaque autorité que vous souhaitez autoriser. Par exemple, un enregistrement avec issue "letsencrypt.org" et un autre avec issue "digicert.com" autorisent les deux. Les autorités vérifient si un enregistrement les nomme : plusieurs enregistrements issue élargissent donc simplement l'ensemble des autorités autorisées, tout en excluant toutes les autres.

Les enregistrements CAA peuvent-ils contrôler séparément les certificats génériques ?

Oui, c'est précisément le rôle de l'étiquette issuewild. issuewild régit qui peut émettre des certificats génériques (comme *.example.com), en supplantant l'étiquette issue ordinaire pour les certificats génériques. Vous pouvez autoriser une autorité à émettre des certificats ordinaires tout en restreignant ou interdisant les génériques, ou l'inverse, en combinant judicieusement les enregistrements issue et issuewild.

Outils connexes

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어