Defaults.Exposed › Configuration › CAA

Comment configurer un enregistrement CAA sur AWS Route 53

Ajoutez un enregistrement CAA dans AWS Route 53 pour contrôler quelles autorités de certification sont autorisées à émettre des certificats SSL pour votre domaine.

Pourquoi cela compte pour votre activité

Un enregistrement CAA (Certification Authority Authorization, « autorisation d’autorité de certification ») désigne quelles autorités de certification — les sociétés qui émettent les certificats SSL/TLS à l’origine du cadenas affiché dans le navigateur — sont autorisées à émettre un certificat pour votre domaine. Toute autorité respectant les règles doit consulter cet enregistrement en premier et refuser la demande si elle n’y figure pas.

En clair : sans enregistrement CAA, n’importe laquelle des centaines d’autorités de certification dans le monde pourrait être trompée ou commettre une erreur et délivrer à quelqu’un un certificat valide pour votre domaine — ce qu’un attaquant pourrait exploiter pour usurper votre site web de manière convaincante. Un enregistrement CAA ferme cette porte en disant : seules ces autorités, personne d’autre. C’est gratuit et cela prend quelques minutes.

Vérifiez que Route 53 gère bien votre DNS

Cela ne fonctionne que si Route 53 répond au DNS de votre domaine. Dans Route 53, vos enregistrements se trouvent dans une zone hébergée (hosted zone) du domaine, et cette zone n’est active que lorsque les serveurs de noms (nameservers) de votre domaine pointent vers les quatre serveurs de noms Route 53 listés dans la zone. Ouvrez la zone hébergée, consultez son enregistrement NS et confirmez que ces serveurs de noms sont bien renseignés chez votre bureau d’enregistrement. Si vos serveurs de noms pointent ailleurs, ajoutez plutôt l’enregistrement CAA chez le prestataire qui gère votre DNS.

Identifiez d’abord votre autorité de certification

Avant d’ajouter quoi que ce soit, déterminez quelle autorité émet votre certificat, sous peine de bloquer votre propre prestataire. Valeurs courantes :

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (utilisé par la plupart des certificats gratuits et automatisés)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Si vous utilisez AWS Certificate Manager pour provisionner des certificats, vous devez autoriser amazon.com, sans quoi ACM ne pourra pas émettre. En cas de doute, demandez à la personne qui a configuré votre hébergement, ou consultez le certificat dans votre navigateur (cliquez sur le cadenas, puis affichez l’émetteur du certificat).

Étape par étape sur Route 53

1. Connectez-vous à l’AWS Management Console et ouvrez Route 53.
2. Dans le menu de gauche, choisissez Hosted zones, puis sélectionnez votre domaine.
3. Cliquez sur Create record.
4. Laissez le champ Record name vide pour appliquer l’enregistrement à la racine de votre domaine (l’apex). N’inscrivez pas ici votre nom de domaine.
5. Réglez Record type sur CAA.
6. Dans la zone Value, saisissez l’enregistrement au format en trois parties de Route 53, sur une seule ligne : 0 issue "letsencrypt.org" C’est-à-dire les flags (0), puis l’étiquette (issue), puis l’autorité de certification entre guillemets droits.
7. Laissez le TTL sur la valeur par défaut (300 secondes convient).
8. Choisissez Simple routing si on vous le demande, puis cliquez sur Create records.

Autoriser plusieurs autorités de certification

La plupart des domaines utilisent plus d’une autorité au fil du temps — par exemple AWS Certificate Manager pour un service et Let’s Encrypt pour un autre. Dans Route 53, vous ajoutez les autorités supplémentaires sous forme de lignes additionnelles dans la zone Value du même enregistrement CAA, une par ligne :

0 issue "amazon.com"
0 issue "letsencrypt.org"

Ensemble, elles signifient : ces deux autorités sont autorisées, aucune autre. Chaque ligne est une entrée issue distincte ; vous ne mettez pas deux autorités sur une même ligne.

Pièges fréquents propres à Route 53

• La plus grosse erreur est de bloquer votre propre autorité. Si vous ajoutez un enregistrement CAA ne listant que digicert.com alors que votre certificat se renouvelle en réalité via Let’s Encrypt ou ACM, le prochain renouvellement échouera silencieusement et votre cadenas pourra cesser de fonctionner des semaines plus tard. Incluez toujours toutes les autorités que vous utilisez réellement avant d’enregistrer.
• Autorisez amazon.com pour ACM. Si vos certificats proviennent d’AWS Certificate Manager et que votre enregistrement CAA n’inclut pas amazon.com, la validation et le renouvellement ACM échoueront. C’est le faux pas le plus courant propre à Route 53.
• Les guillemets autour de l’AC sont obligatoires. Route 53 attend 0 issue "letsencrypt.org" avec l’autorité entre guillemets droits. Les omettre rend l’enregistrement invalide.
• Laissez le nom de l’enregistrement vide pour la racine. Un nom vide applique l’enregistrement à l’apex ; y inscrire le nom de domaine le crée au mauvais endroit.
• Le flag est 0 pour un enregistrement normal. L’autre valeur, 128, est un mode strict — à n’utiliser que délibérément.
• Utilisez le domaine nu, pas une URL. La valeur est letsencrypt.org, jamais https://letsencrypt.org ni www..
• Laissez-lui le temps. Les changements DNS peuvent mettre de quelques minutes à quelques heures pour prendre effet. Les certificats existants continuent de fonctionner ; le CAA n’est consulté que lors de l’émission ou du renouvellement d’un nouveau certificat.

Vérifiez que cela a fonctionné

Une fois enregistré et propagé, lancez la vérification gratuite sur ce site. Elle vous indiquera en langage clair si votre enregistrement CAA est en place et quelles autorités vous avez autorisées.

Terminé ? Vérifiez votre domaine gratuitement pour confirmer que cela a fonctionné — et voir votre note complète sur les 34 contrôles.