Remove ads
De Wikipédia, l'encyclopédie libre
DNS Certification Authority Authorization (CAA) est une spécification basée sur le DNS permettant au titulaire d'un nom de domaine de lister les autorités de certification (CA) qui sont autorisées à délivrer des certificats pour ce domaine. Ce mécanisme n'est pas censé servir de vérification supplémentaire pour un client TLS (navigateur web en HTTPS par exemple, cf. DANE dans ce cas) mais plutôt de confirmation/refus aux autorités de certification dans leurs processus d'émission de certificat.
DNS Certification Authority Authorization est spécifié par la RFC 6844[1]. Elle définit un nouveau type d'enregistrement de ressource DNS : "CAA", qui peut stocker un large éventail d'informations utiles aux autorités de certification, comme des URL d'autorités habilitées à émettre un certificat ou comme un webservice ou une adresse électronique de contact permettant aux autorités de communiquer voire signaler divers soucis au responsable du nom de domaine.
Chaque enregistrement de ressource CAA est constitué d'indicateurs réunis sur un octet, d'une étiquette et d'une valeur. Les indicateurs permettent d'influer sur l'interprétation de l'enregistrement et l'étiquette indique quel type d'information est contenu dans le champ "valeur".
Actuellement, un seul indicateur est défini: le issuer critical est représenté par le bit le plus significatif de l'octet. S'il est activé (c'est-à-dire que l'entier résultant est égal ou supérieur à 128) l'autorité de certification qui n'est pas à même de comprendre ou de mettre en œuvre l'étiquette de cet enregistrement doit refuser de délivrer un certificat pour le domaine. Ceci est similaire au fonctionnement des extensions critiques dans les certificats X509.
Outre l'octet-indicateur, trois étiquettes sont définies:
Dans sa forme la plus simple, l'enregistrement ressemble en général à l'exemple ci-dessous. L'autorité ExampleNet (et seulement elle) est autorisée à émettre des certificats pour le nom de domaine example.com, ainsi que pour www.example.com et www.subdomain.example.com grâce au mécanisme hiérarchique de vérification[2]:
example.com. CAA 0 issue "ca.example.net"
L'exemple ci-dessous est volontairement d'une complexité inutile afin de souligner certains comportements éventuellement fâcheux :
example.com. CAA 0 issue "wikipedia.example.net"
CAA 0 issue "wikimedia.example.net"
CAA 0 issuewild "creative-commons.example.net"
CAA 128 iodef "mailto:webmaster@example.com"
www.example.com. CAA 128 oups "typo"
nocerts.example.com. CAA 0 issue ";"
Les enregistrements de ressource (RR) CAA sont pris en charge par le serveur DNS BIND (versions 9.10.1B et ultérieures)[3], le NSD (depuis la version 4.0.1)[4], le serveur Knot DNS (depuis la version 2.2.0)[5] et PowerDNS (depuis la version 4.0.0)[6].
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.