Defaults.Exposed › Configuration › CAA

Comment configurer un enregistrement CAA sur Namecheap

Ajoutez un enregistrement CAA dans Namecheap pour contrôler quelles autorités de certification sont autorisées à émettre des certificats SSL pour votre domaine.

Pourquoi cela compte pour votre activité

Un enregistrement CAA (Certification Authority Authorization, « autorisation d’autorité de certification ») désigne quelles autorités de certification — les sociétés qui émettent les certificats SSL/TLS à l’origine du cadenas affiché dans le navigateur — sont autorisées à émettre un certificat pour votre domaine. Toute autorité respectant les règles doit consulter cet enregistrement en premier et refuser la demande si elle n’y figure pas.

En clair : sans enregistrement CAA, n’importe laquelle des centaines d’autorités de certification dans le monde pourrait être trompée ou commettre une erreur et délivrer à quelqu’un un certificat valide pour votre domaine — ce qu’un attaquant pourrait exploiter pour usurper votre site web de manière convaincante. Un enregistrement CAA ferme cette porte en disant : seules ces autorités, personne d’autre. C’est gratuit et cela prend quelques minutes.

Vérifiez que Namecheap gère bien votre DNS

Cela ne fonctionne que si Namecheap répond au DNS de votre domaine. Les enregistrements ci-dessous se placent dans Advanced DNS (DNS avancé), qui n’est actif que si votre domaine utilise Namecheap BasicDNS (ou PremiumDNS). Connectez-vous, ouvrez Domain List, cliquez sur Manage pour votre domaine et vérifiez que les serveurs de noms sont bien réglés sur Namecheap. Si vos serveurs de noms pointent ailleurs, ajoutez plutôt l’enregistrement CAA chez le prestataire qui gère votre DNS.

Identifiez d’abord votre autorité de certification

Avant d’ajouter quoi que ce soit, déterminez quelle autorité émet votre certificat, sous peine de bloquer votre propre prestataire. Valeurs courantes :

• letsencrypt.org — Let’s Encrypt (utilisé par la plupart des certificats gratuits et automatisés)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

En cas de doute, demandez à la personne qui a configuré votre hébergement, ou consultez le certificat dans votre navigateur (cliquez sur le cadenas, puis affichez l’émetteur du certificat).

Étape par étape sur Namecheap

1. Connectez-vous à Namecheap et ouvrez Domain List.
2. Cliquez sur Manage à côté de votre domaine.
3. Ouvrez l’onglet Advanced DNS.
4. Sous Host Records, cliquez sur Add New Record.
5. Réglez le Type d’enregistrement sur CAA Record.
6. Dans le champ Host, saisissez : @ Le @ désigne la racine de votre domaine. N’inscrivez pas ici votre nom de domaine.
7. Dans le champ Flag, saisissez : 0
8. Dans le champ Tag, choisissez : issue
9. Dans le champ Value (domaine de l’AC), saisissez l’identifiant de votre autorité de certification, par exemple : letsencrypt.org
10. Laissez le TTL sur Automatic.
11. Cliquez sur la coche verte pour enregistrer, puis sur Save All Changes si on vous le demande.

Autoriser plusieurs autorités de certification

La plupart des domaines utilisent plus d’une autorité au fil du temps — par exemple un certificat gratuit aujourd’hui et un payant plus tard, ou une autre pour un service distinct. Pour en autoriser plusieurs, ajoutez un enregistrement CAA distinct pour chacune. Ils utilisent tous le même host @, le même flag 0 et la même étiquette issue — seule la valeur change :

• un enregistrement avec la valeur letsencrypt.org
• un enregistrement avec la valeur digicert.com

Ensemble, ils signifient : ces deux autorités sont autorisées, aucune autre. Vous ne les combinez pas dans un seul enregistrement.

Pièges fréquents propres à Namecheap

• La plus grosse erreur est de bloquer votre propre autorité. Si vous ajoutez un enregistrement CAA ne listant que digicert.com alors que votre certificat se renouvelle en réalité via Let’s Encrypt, le prochain renouvellement échouera silencieusement et votre cadenas pourra cesser de fonctionner des semaines plus tard. Incluez toujours toutes les autorités que vous utilisez réellement avant d’enregistrer.
• Le host est @, pas votre domaine. Inscrire votre nom de domaine complet dans le champ Host crée l’enregistrement au mauvais endroit. Utilisez @ pour la racine.
• Le flag est 0 pour un enregistrement normal. L’autre valeur, 128, est un mode strict qui fait refuser catégoriquement toute autorité non conforme — à n’utiliser que délibérément. Pour un usage courant, mettez 0.
• Utilisez le domaine nu, pas une URL. La valeur est letsencrypt.org, jamais https://letsencrypt.org ni www..
• Choisissez le type CAA, pas TXT. Namecheap propose un type CAA Record dédié — utilisez-le plutôt que d’écrire un CAA à la main dans un enregistrement TXT.
• Laissez-lui le temps. Les changements DNS peuvent mettre de quelques minutes à quelques heures pour prendre effet. Les certificats existants continuent de fonctionner ; le CAA n’est consulté que lors de l’émission ou du renouvellement d’un nouveau certificat.

Vérifiez que cela a fonctionné

Une fois enregistré et propagé, lancez la vérification gratuite sur ce site. Elle vous indiquera en langage clair si votre enregistrement CAA est en place et quelles autorités vous avez autorisées.

Terminé ? Vérifiez votre domaine gratuitement pour confirmer que cela a fonctionné — et voir votre note complète sur les 34 contrôles.