Comprendre les échecs de vérification CAA et comment les résoudre

Voir tous les guides

Aperçu

Les enregistrements d'autorisation d'autorité de certification (CAA) permettent aux propriétaires de domaines de spécifier quelles autorités de certification (CA) peuvent émettre TLS certificats pour leurs domaines.  La CAA exige qu'une autorité de certification examine les enregistrements CAA d'un domaine avant l'émission d'un certificat. Au cours du processus de vérification CAA, l'autorité de certification doit parvenir à un serveur de noms de domaine faisant autorité. Si aucun enregistrement CAA n'est présent, l'AC peut poursuivre si d'autres critères de vérification sont remplis. Cependant, si des enregistrements CAA existent, l'AC ne peut émettre un certificat que si cela est explicitement autorisé dans l'un de ces enregistrements.  Ce guide décrit les échecs courants de vérification CAA, explique pourquoi ils se produisent et fournit des étapes concrètes pour les résoudre. Une configuration CAA appropriée permet de sécuriser votre domaine et de vous protéger contre l'émission de certificats non autorisés.

Que sont les échecs de vérification CAA ?

Lorsqu'une vérification CAA échoue, cela signifie qu'il existe des problèmes avec les enregistrements CAA ou les paramètres DNS associés à votre domaine qui empêchent SSL.com d'émettre un certificat. Il existe trois principales catégories d'échecs de vérification CAA :
  • Dénié:Échecs liés aux enregistrements CAA explicites qui restreignent l'émission de certificats.
  • DNSSEC:Problèmes découlant des configurations et des réponses DNSSEC.
  • Sécurité:Échecs dus à des vulnérabilités de sécurité potentielles, telles que XSS.

En savoir plus sur les certificats de confiance de SSL.com

Raisons des échecs de vérification CAA

Refuser les tests

  1. Étiquette de problème vide : empty.basic.domainname.com – Échoue si l'enregistrement CAA est 0, problème « ; », indiquant qu'aucune autorité de certification n'est autorisée.
  2. Déni explicite : Se produit si l'enregistrement CAA interdit explicitement l'émission pour issue ou issuewild. Si un enregistrement CAA est présent, il doit inclure soit issue « ssl.com », soit issuewild « ssl.com ».
  3. Sensibilité à la casse dans la balise Issue : Les balises de problème en majuscules (uppercase-deny.basic.domainname.com) ou en casse mixte (mixedcase-deny.basic.domainname.com) entraînent un échec.
  4. Grand ensemble de disques : big.basic.domainname.com – Échoue s'il y a un nombre excessif d'enregistrements CAA (par exemple, 1001).
  5. Propriétés critiques inconnues : critical1.basic.domainname.com et critical2.basic.domainname.com – Échoue s’il existe des propriétés non reconnues marquées comme critiques.
  6. Escalade d'arbres : Échoue lorsque les enregistrements CAA aux niveaux parent (sub1.deny.basic.domainname.com) ou grand-parent (sub2.sub1.deny.basic.domainname.com) restreignent l'émission.
  7. Chaînes CNAME : Échoue si des restrictions CAA existent sur les cibles CNAME dans une chaîne de CNAME, telles que cname-deny.basic.domainname.com, cname-cname-deny.basic.domainname.com et sub1.cname-deny.basic.domainname.com. Le comportement actuel des enregistrements CAA avec CNAME est le suivant : si vous demandez un certificat pour  a.domaine.com et c'est un enregistrement cname pour sub.sub.autredomaine.com alors la vérification CAA vérifiera également jusqu'au domaine racine de unautredomaine.com pour un enregistrement CAA.
  8. Refuser en cas de parent permissif : deny.permit.basic.domainname.com – Échoue si l’enfant est restreint même lorsque le parent autorise l’émission.
  9. Serveurs IPv6 uniquement : ipv6only.domainname.com – Échoue si l’enregistrement CAA n’est accessible que via IPv6 et que l’autorité de certification ne peut pas le traiter.

Échecs DNSSEC

  1. Signatures DNSSEC expirées : expired.domainname-dnssec.com – Échoue si les signatures DNSSEC ont expiré.
  2. Signatures DNSSEC manquantes : missing.domainname-dnssec.com – Échoue si les signatures DNSSEC sont absentes.
  3. Serveur DNS qui ne répond pas : blackhole.domainname-dnssec.com – Échoue si une chaîne de validation DNSSEC conduit à un serveur qui ne répond pas.
  4. Réponse SERVFAIL : servfail.domainname-dnssec.com – Échoue si le serveur DNS répond avec SERVFAIL.
  5. REFUSÉ Réponse : denied.domainname-dnssec.com – Échoue si le serveur DNS répond avec REFUSED.

Contrôles de sécurité

  1. Vulnérabilité XSS : xss.domainname.com – Échoue si la propriété du problème contient du HTML ou du JavaScript, testant les vulnérabilités XSS.

Tests spéciaux et informatifs

Ces tests sont pertinents dans des scénarios spécifiques, tels que les vérifications automatiques du SAN (Subject Alternative Name) ou certains scénarios d'alias DNS. Cette suite garantit que les autorités de certification sont conformes aux exigences de base, en particulier en ne délivrant pas de certificats lorsque des restrictions CAA s'appliquent.

Comment résoudre les échecs de vérification CAA

Utilisez ces étapes et outils pour vous aider à résoudre les échecs de vérification CAA :
  1. Examen des dossiers de la CAA:Confirmez que vos enregistrements CAA autorisent explicitement l'autorité de certification en tant qu'émetteur :  
    1. problème « ssl.com » pour le domaine 
    2. issuewild « ssl.com » pour les certificats génériques
  2. Utilisez la commande dig: Il s'agit d'un outil réseau polyvalent utilisé pour interagir avec les serveurs de noms DNS. Il effectue des requêtes DNS et présente les réponses des serveurs qu'il interroge, ce qui en fait un outil précieux pour diagnostiquer et résoudre les problèmes liés au DNS. par exemple : dig @1.1.1.1 domain.com CAA. il devrait afficher statut : AUCUNE ERREUR
    1. Utilisation de la commande dig pour les sous-domaines : Pour résoudre les échecs de vérification CAA pour les sous-domaines tels que sub2.sub1.example.com à l'aide de creuser commande, assurez-vous de ce qui suit : Le creuser Le commandement de la CAA doit revenir NXDOMAIN or PAS D'ERREUR si aucun enregistrement CAA n'existe, cela doit être vérifié pour chaque niveau de la hiérarchie du domaine, en commençant par le nom de domaine complet (FQDN) sub2.sub1.example.com, puis en remontant jusqu'à sub1.example.com, et enfin au domaine de premier niveau example.com. Le processus de vérification continuera jusqu'au domaine de premier niveau jusqu'à ce qu'il trouve un enregistrement CAA.
      Remarque : le comportement actuel des enregistrements CAA avec CNAME est le suivant : si vous demandez un certificat pour  a.domaine.com et c'est un enregistrement cname pour sub.sub.autredomaine.com alors la vérification CAA vérifiera également jusqu'au domaine racine de unautredomaine.com pour un enregistrement CAA.
  3. Utilisez Oracle outil de suppression: fouiller est conçu pour résoudre les problèmes de requêtes DNS et valider les réponses à l'aide de DNSSEC, en imitant le comportement d'un serveur DNS configuré pour la validation et le transfert. Il envoie des requêtes à un serveur spécifié, y compris celles pour les enregistrements DNSKEY et DS, pour établir des chaînes de confiance sans effectuer de résolution itérative. L'outil fournit diverses options de requête, telles que la journalisation des récupérations de résolution (+[no]rtrace), détails de la réponse (+[no]mtrace) et les processus de validation (+[no]vtrace).
  4. Vérifiez les paramètres DNSSEC: Des outils comme DNSVizName or Analyseur DNSSEC Verisign peut vous aider à valider votre configuration DNSSEC.
  5. Consultez votre fournisseur DNS:Pour les échecs liés à DNSSEC, votre fournisseur DNS peut vous aider à résoudre les problèmes de signatures ou de configuration DNSSEC.

Références supplémentaires 

Pour un aperçu pratique de ces scénarios, visitez https://caatestsuite.com/.    

Guides SSL.com associés

Besoin de configurer CAA pour autoriser SSL.com à émettre des certificats pour votre domaine? Alors s'il te plait revoir cet article.
Twitter
Facebook
LinkedIn
Reddit
Email

Équipe d'assistance SSL

Tous les messages "

Restez informé et en sécurité

SSL.com est un leader mondial de la cybersécurité, PKI et les certificats numériques. Inscrivez-vous pour recevoir les dernières nouvelles de l'industrie, des conseils et des annonces de produits de SSL.com.

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.

Répondez au sondage