Defaults.Exposed › Configuration › CAA

Comment configurer un enregistrement CAA sur GoDaddy

Ajoutez un enregistrement CAA dans GoDaddy pour contrôler quelles autorités de certification sont autorisées à émettre des certificats SSL pour votre domaine.

Pourquoi cela compte pour votre activité

Un enregistrement CAA (Certification Authority Authorization, « autorisation d’autorité de certification ») désigne quelles autorités de certification — les sociétés qui émettent les certificats SSL/TLS à l’origine du cadenas affiché dans le navigateur — sont autorisées à émettre un certificat pour votre domaine. Toute autorité respectant les règles doit consulter cet enregistrement en premier et refuser la demande si elle n’y figure pas.

En clair : sans enregistrement CAA, n’importe laquelle des centaines d’autorités de certification dans le monde pourrait être trompée ou commettre une erreur et délivrer à quelqu’un un certificat valide pour votre domaine — ce qu’un attaquant pourrait exploiter pour usurper votre site web de manière convaincante. Un enregistrement CAA ferme cette porte en disant : seules ces autorités, personne d’autre. C’est gratuit et cela prend quelques minutes.

Vérifiez que GoDaddy gère bien votre DNS

Cela ne fonctionne que si GoDaddy répond au DNS de votre domaine. GoDaddy vend des domaines et héberge aussi le DNS, mais les deux sont distincts — les serveurs de noms (nameservers) de votre domaine doivent pointer vers GoDaddy pour que les enregistrements ajoutés ici soient actifs. Connectez-vous, ouvrez votre domaine et vérifiez que les serveurs de noms sont bien ceux de GoDaddy. S’ils pointent ailleurs, ajoutez plutôt l’enregistrement CAA chez le prestataire qui gère votre DNS.

Identifiez d’abord votre autorité de certification

Avant d’ajouter quoi que ce soit, déterminez quelle autorité émet votre certificat, sous peine de bloquer votre propre prestataire. Valeurs courantes :

• letsencrypt.org — Let’s Encrypt (utilisé par la plupart des certificats gratuits et automatisés)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

En cas de doute, demandez à la personne qui a configuré votre hébergement, ou consultez le certificat dans votre navigateur (cliquez sur le cadenas, puis affichez l’émetteur du certificat).

Étape par étape sur GoDaddy

1. Connectez-vous à GoDaddy et ouvrez le Portefeuille de domaines (ou Mes produits).
2. Repérez votre domaine et ouvrez sa page de gestion DNS (cherchez DNS ou Gérer le DNS).
3. Sous la liste des enregistrements, cliquez sur Ajouter (ou Ajouter un nouvel enregistrement).
4. Réglez le Type sur CAA.
5. Dans le champ Nom (ou Hôte), saisissez : @ Le @ désigne la racine de votre domaine. N’inscrivez pas ici votre nom de domaine.
6. Réglez Flags (indicateurs) sur : 0
7. Réglez Tag (étiquette) sur : issue
8. Dans le champ Valeur, saisissez l’identifiant de votre autorité de certification, par exemple : letsencrypt.org
9. Laissez le TTL sur la valeur par défaut (1 heure convient).
10. Cliquez sur Enregistrer.

Autoriser plusieurs autorités de certification

La plupart des domaines utilisent plus d’une autorité au fil du temps — par exemple un certificat gratuit aujourd’hui et un payant plus tard, ou une autre pour un service distinct. Pour en autoriser plusieurs, ajoutez un enregistrement CAA distinct pour chacune. Elles utilisent toutes le même nom @, le même flag 0 et la même étiquette issue — seule la valeur change :

• un enregistrement avec la valeur letsencrypt.org
• un enregistrement avec la valeur digicert.com

Ensemble, ils signifient : ces deux autorités sont autorisées, aucune autre. Vous ne les combinez pas dans un seul enregistrement.

Pièges fréquents propres à GoDaddy

• La plus grosse erreur est de bloquer votre propre autorité. Si vous ajoutez un enregistrement CAA ne listant que digicert.com alors que votre certificat se renouvelle en réalité via Let’s Encrypt, le prochain renouvellement échouera silencieusement et votre cadenas pourra cesser de fonctionner des semaines plus tard. Incluez toujours toutes les autorités que vous utilisez réellement avant d’enregistrer.
• Le nom est @, pas votre domaine. Inscrire votre nom de domaine complet dans le champ Nom crée l’enregistrement au mauvais endroit. Utilisez @ pour la racine.
• Le flag est 0 pour un enregistrement normal. L’autre valeur, 128, est un mode strict qui fait refuser catégoriquement toute autorité non conforme — à n’utiliser que délibérément. Pour un usage courant, mettez 0.
• Utilisez le domaine nu, pas une URL. La valeur est letsencrypt.org, jamais https://letsencrypt.org ni www..
• N’ajoutez pas vos propres guillemets. Saisissez la valeur telle quelle ; GoDaddy gère lui-même la mise entre guillemets.
• Laissez-lui le temps. Les changements DNS peuvent mettre de quelques minutes à quelques heures pour prendre effet. Les certificats existants continuent de fonctionner ; le CAA n’est consulté que lors de l’émission ou du renouvellement d’un nouveau certificat.

Vérifiez que cela a fonctionné

Une fois enregistré et propagé, lancez la vérification gratuite sur ce site. Elle vous indiquera en langage clair si votre enregistrement CAA est en place et quelles autorités vous avez autorisées.

Terminé ? Vérifiez votre domaine gratuitement pour confirmer que cela a fonctionné — et voir votre note complète sur les 34 contrôles.