Defaults.Exposed › Configuration › CAA

Comment configurer un enregistrement CAA sur Cloudflare

Ajoutez un enregistrement CAA dans Cloudflare pour contrôler quelles autorités de certification sont autorisées à émettre des certificats SSL pour votre domaine.

Pourquoi cela compte pour votre activité

Un enregistrement CAA (Certification Authority Authorization, « autorisation d’autorité de certification ») désigne quelles autorités de certification — les sociétés qui émettent les certificats SSL/TLS à l’origine du cadenas affiché dans le navigateur — sont autorisées à émettre un certificat pour votre domaine. Toute autorité respectant les règles doit consulter cet enregistrement en premier et refuser la demande si elle n’y figure pas.

En clair : sans enregistrement CAA, n’importe laquelle des centaines d’autorités de certification dans le monde pourrait être trompée ou commettre une erreur et délivrer à quelqu’un un certificat valide pour votre domaine — ce qu’un attaquant pourrait exploiter pour usurper votre site web de manière convaincante. Un enregistrement CAA ferme cette porte en disant : seules ces autorités, personne d’autre. C’est gratuit et cela prend quelques minutes.

Vérifiez que Cloudflare gère bien votre DNS

Cela ne fonctionne que si Cloudflare répond au DNS de votre domaine. Cloudflare est votre hébergeur DNS, et son DNS n’est actif que lorsque les serveurs de noms (nameservers) de votre domaine pointent vers les serveurs de noms Cloudflare indiqués dans votre tableau de bord. Ouvrez votre domaine dans Cloudflare et consultez la page Overview (Vue d’ensemble) pour confirmer que Cloudflare est actif. Si vos serveurs de noms pointent ailleurs, ajoutez plutôt l’enregistrement CAA chez le prestataire qui gère votre DNS.

Identifiez d’abord votre autorité de certification

Avant d’ajouter quoi que ce soit, déterminez quelle autorité émet votre certificat, sous peine de bloquer votre propre prestataire. Valeurs courantes :

letsencrypt.org — Let’s Encrypt (utilisé par la plupart des certificats gratuits et automatisés)
digicert.com — DigiCert
sectigo.com — Sectigo
globalsign.com — GlobalSign
pki.goog — Google Trust Services
amazon.com — Amazon (AWS Certificate Manager)

Une remarque propre à Cloudflare : si vous utilisez le SSL de Cloudflare (la configuration proxifiée « nuage orange »), Cloudflare émet des certificats via plusieurs autorités pour votre compte — assurez-vous donc que tout enregistrement CAA que vous ajoutez les autorise toujours, ou laissez Cloudflare gérer le CAA pour vous. En cas de doute, demandez à la personne qui a configuré votre hébergement, ou consultez le certificat dans votre navigateur (cliquez sur le cadenas, puis affichez l’émetteur du certificat).

Étape par étape sur Cloudflare

Connectez-vous à Cloudflare et sélectionnez votre domaine.
Dans le menu de gauche, accédez à vos paramètres DNS (cherchez DNS / Records).
Cliquez sur Add record.
Réglez le Type sur CAA.
Dans le champ Name, saisissez : @ Le @ désigne la racine de votre domaine. Cloudflare ajoute le domaine pour vous, n’inscrivez donc pas votre nom de domaine ensuite.
Cloudflare présente les champs CAA sous forme de menus conviviaux. Réglez-les ainsi :
- Flags : 0
- Tag : choisissez Only allow specific hostnames (il s’agit de l’étiquette issue)
- CA domain name (la valeur) : letsencrypt.org
Laissez le TTL sur Auto.
Cliquez sur Save.

Autoriser plusieurs autorités de certification

La plupart des domaines utilisent plus d’une autorité au fil du temps — par exemple un certificat gratuit aujourd’hui et un payant plus tard, ou une autre pour un service distinct. Pour en autoriser plusieurs, ajoutez un enregistrement CAA distinct pour chacune. Ils utilisent tous le même nom @, le même flag 0 et la même étiquette issue — seule la valeur du domaine de l’AC change :

un enregistrement avec la valeur letsencrypt.org
un enregistrement avec la valeur digicert.com

Ensemble, ils signifient : ces deux autorités sont autorisées, aucune autre. Vous ne les combinez pas dans un seul enregistrement.

Pièges fréquents propres à Cloudflare

La plus grosse erreur est de bloquer votre propre autorité. Si vous ajoutez un enregistrement CAA ne listant que digicert.com alors que votre certificat se renouvelle en réalité via Let’s Encrypt, le prochain renouvellement échouera silencieusement et votre cadenas pourra cesser de fonctionner des semaines plus tard. Incluez toujours toutes les autorités que vous utilisez réellement avant d’enregistrer.
Attention au SSL propre à Cloudflare. Si votre trafic passe par Cloudflare (nuage orange), Cloudflare doit pouvoir obtenir des certificats de périphérie. Ajouter un enregistrement CAA qui exclut les autorités utilisées par Cloudflare peut casser cela — dans le doute, autorisez Let’s Encrypt et Google Trust Services (pki.goog) en plus de la vôtre, ou laissez le CAA à Cloudflare.
Le nom est @, pas votre domaine. Utilisez @ pour la racine ; Cloudflare ajoute lui-même le domaine.
La formulation de l’étiquette diffère. Cloudflare nomme l’étiquette issue Only allow specific hostnames dans son menu. C’est le bon choix pour un usage normal.
Le flag est 0 pour un enregistrement normal. L’autre valeur, 128, est un mode strict — à n’utiliser que délibérément.
Utilisez le domaine nu, pas une URL. La valeur est letsencrypt.org, jamais https://letsencrypt.org ni www..
Pas de proxy sur un enregistrement CAA. Le CAA est un pur enregistrement DNS — il n’y a aucun bouton nuage orange/gris à gérer ici.
Laissez-lui le temps. Les changements DNS peuvent mettre de quelques minutes à quelques heures pour prendre effet. Les certificats existants continuent de fonctionner ; le CAA n’est consulté que lors de l’émission ou du renouvellement d’un nouveau certificat.

Vérifiez que cela a fonctionné

Une fois enregistré et propagé, lancez la vérification gratuite sur ce site. Elle vous indiquera en langage clair si votre enregistrement CAA est en place et quelles autorités vous avez autorisées.

Terminé ? Vérifiez votre domaine gratuitement pour confirmer que cela a fonctionné — et voir votre note complète sur les 34 contrôles.