FAQ sur la CAA (Certification Authority Authorization)

​​ FAQ sur la CAA (Certification Authority Authorization)

Cet article répond à plusieurs questions courantes sur les enregistrements DNS CAA.

​​ Dans cet article

• Qu’est-ce que CAA ? Open external link
• Comment Cloudflare évalue-t-il les enregistrements CAA ? Open external link  
• Pourquoi dois-je désactiver Universal SSL si mes enregistrements CAA excluent l’émission Universal SSL ? Open external link
• Quels enregistrements sont ajoutés pour garder Universal SSL activé ? Open external link
• Que se passe-t-il quand Universal SSL est désactivé ? Open external link
• Comment réactiver Universal SSL ? Open external link
• Quels sont les dangers de définir des enregistrements CAA ? Open external link

​​ Qu’est-ce que CAA ?

Un enregistrement CAA (Certificate Authority Authorization) permet aux propriétaires de domaine de limiter l’émission à certaines autorités de certification CA (Certificate Authorities). Les enregistrements CAA empêchent les autorités de certification d’émettre des certificats dans certaines circonstances.  Reportez-vous à la documentation RFC 6844 Open external link pour en savoir plus.

​​ Comment Cloudflare évalue-t-il les enregistrements CAA ?

Les enregistrements CAA sont évalués par une CA et non par Cloudflare.

​​ Pourquoi dois-je désactiver Universal SSL si mes enregistrements CAA excluent l’émission Universal SSL ?

Les certificats Universal SSL étant partagés entre les clients, vos enregistrements CAA peuvent empêcher l’émission d’un Universal SSL pour un autre client. Par conséquent, Cloudflare doit désactiver Universal SSL pour votre domaine afin de garantir que vos enregistrements CAA n’affectent pas un autre client.

Si vous n’avez pas besoin de ce certificat de la part de Cloudflare, désactivez Universal SSL dans l’application SSL/TLS.

​​ Quels enregistrements sont ajoutés pour garder Universal SSL activé ?

Les enregistrements DNS suivants sont automatiquement définis si vous continuez à utiliser les certificats Universal SSL gratuits de Cloudflare :

exemple.com. IN CAA 0 issue "comodoca.com"exemple.com. IN CAA 0 issue "digicert.com"exemple.com. IN CAA 0 issue "letsencrypt.org"exemple.com. IN CAA 0 issuewild "comodoca.com"exemple.com. IN CAA 0 issuewild "digicert.com"exemple.com. IN CAA 0 issuewild "letsencrypt.org"

Utilisé seul, issuewild n’autorise que l’émission de jokers.  Par conséquent, Cloudflare ne peut pas ajouter votre domaine racine au certificat, sauf si vous spécifiez l’option Autoriser les jokers et les noms d’hôte spécifiques dans la liste déroulante Balise :

​​ Que se passe-t-il quand Universal SSL est désactivé ?

Votre nom de domaine est immédiatement supprimé du certificat Universal SSL et vos utilisateurs vont rencontrer des erreurs SSL, à moins que vous ne chargiez un certificat SSL personnalisé Open external link (ce qui nécessite un Business ou Enterprise Plan).

​​ Comment réactiver Universal SSL ?

Ouvrez un ticket auprès du support Cloudflare.

​​ Quels sont les dangers de définir des enregistrements CAA ?

Si vous faites partie d’une grande entreprise ou si plusieurs parties sont chargées d’obtenir des certificats SSL, incluez les enregistrements CAA qui permettent l’émission de tous les CA applicables à votre entreprise.  Si vous ne le faites pas, vous risquez de bloquer par inadvertance l’émission SSL pour d’autres parties de votre entreprise.