Comment autoriser SSL.com via CAA Records
SSL.com est une autorité de certification (CA) avec des racines de confiance dans de nombreux navigateurs et appareils. En tant que client, vous vous demandez peut-être quelles autorités de certification peuvent émettre des certificats pour vos domaines. Cependant, des réglementations sectorielles sont en place pour garantir que les clients peuvent décider quelles autorités de certification sont autorisées à émettre des certificats pour leurs sites Web et leurs appareils. Ces restrictions sont configurées via des enregistrements CAA dans la zone DNS du domaine.
Toutes les autorités de certification doivent désormais vérifier Enregistrements d'autorisation de l'autorité de certification (CAA) avant d'émettre un certificat de serveur. Par conséquent, vous devez ajouter des enregistrements CAA qui permettent à SSL.com d'émettre des certificats dans votre zone DNS. Vous pouvez utiliser les exemples suivants comme modèles pour vos entrées réelles. (Bien sûr, vous remplaceriez example.com avec votre propre nom de domaine.)
Autorisez SSL.com à émettre des certificats pour example.com (et tous les sous-domaines, comme caractères génériques):
example.com. 3600 IN CAA 0 issue "ssl.com" example.com. 3600 IN CAA 0 issuewild "ssl.com"
Autorisez SSL.com à émettre des certificats pour example.com (et tous les sous-domaines sauf pour le caractère générique * .example.com):
example.com. 3600 IN CAA 0 issue "ssl.com" example.com. 3600 IN CAA 0 issuewild ";"
Autorisez SSL.com à émettre des certificats pour subdomain.example.com UNIQUEMENT (pas de caractères génériques ou de certificats pour le domaine principal).
subdomain.example.com. 3600 IN CAA 0 issue "ssl.com" example.com. 3600 IN CAA 0 issuewild ";" example.com. 3600 IN CAA 0 issue ";"
Pour recevoir un rapport par email lors d'une demande d'émission d'un SSL /TLS le certificat pour votre site est reçu:
example.com. 3600 DANS CAA 0 iodef "mailto: security@example.com"
(Bien sûr, vous devez remplacer security@exemple.com avec votre adresse e-mail réelle.)