Auteur Sujet: DNS Certification Authority Authorization dispo chez OVH (Lu 9197 fois)

vivien · « **le:** 05 mai 2018 à 16:57:34 »

DNS Certification Authority Authorization (CAA) dispo chez OVH

DNS Certification Authority Authorization (CAA) est une spécification basée sur le DNS permettant au titulaire d'un nom de domaine de lister les autorités de certification (CA) qui sont autorisées à délivrer des certificats pour ce domaine. Ce mécanisme n'est pas censé servir de vérification supplèmentaire pour un client TLS (navigateur web en HTTPS par exemple) mais plutôt de confirmation/refus aux autorités de certification dans leurs processus d'émission de certificat.

DNS Certification Authority Authorization est spécifié par la RFC 6844. Elle définit un nouveau type d'enregistrement de ressource DNS : "CAA", qui peut stocker un large éventail d'informations utiles aux autorités de certification, comme des URL d'autorités habilitées à èmettre un certificat ou comme un webservice ou une adresse email de contact permettant aux autorités de communiquer voire signaler divers soucis au responsable du nom de domaine.
Source : Wikipedia

Bien que la CAA soit standardisé depuis plus de 5 ans, il n'y avait que une centaine de sites qui l'utilisaient jusqu'en 2016. Début 2017, le "CA/Browser Forum" a mis à jour ses normes de base d'émission de certificat et les autorités qui délivrent des certificats ont obligation d'utiliser le CAA afin de ne pas délivrer un certificat si le CAA l'interdit.

OVH propose depuis quelques semaines de rentrer le champ CAA via le manager, si vous gérez votre nom de domaine chez OVH.

Étape N°1 : Dans le manager OVH, aller dans l'onglet Zone DNS et cliquer sur Ajouter une Entrée :

Étape N°2 : Sélectionnez CAA :

vivien · « **Réponse #1 le:** 05 mai 2018 à 16:59:55 »

Étape N°3 : Les informations à rentrer :
- sous-domaine : ne remplissez rien afin de protéger l'ensemble de votre domaine et pas uniquement un sous-domaine.
- TTL : durée de l'information en cache, laissez la valeur Par défaut.
- Indicateur : mettez 0
- Étiquette : mettez issue
- Cible : mettez le nom de votre autorité de certification. Pour ne pas se tromper, voici un outil : https://sslmate.com/caa/
Pour Let's Encrypt, c'est "letsencrypt.org"

Voici ce que cela donne pour Let's Encrypt :

Étape N°4 : Validez, c'est terminé :

vivien · « **Réponse #2 le:** 05 mai 2018 à 17:00:39 »

Étape N°5 : Un dig CAA permet de vérifier que le champ est bien mis en place :

Code: [Sélectionner]

$ dig CAA lafibre.info

; <<>> DiG 9.11.3-1ubuntu1-Ubuntu <<>> CAA lafibre.info
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62936
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;lafibre.info.			IN	CAA

;; ANSWER SECTION:
lafibre.info.		899	IN	CAA	0 issue "letsencrypt.org"

;; Query time: 89 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Sat May 05 15:50:41 CEST 2018
;; MSG SIZE  rcvd: 75

Anonyme · « **Réponse #3 le:** 08 mai 2018 à 10:41:19 »

Standard Zone File
For BIND ≥9.9.6, PowerDNS ≥4.0.0, NSD ≥4.0.1, Knot DNS ≥2.2.0

example.com. IN CAA 0 issue ";"

Legacy Zone File (RFC 3597 Syntax)
For BIND <9.9.6, NSD <4.0.1, Windows Server 2016

example.com. IN TYPE257 \# 8 000569737375653B

C'est la partie la plus importante, la version de Bind pour les RR

vivien · « **Réponse #4 le:** 08 mai 2018 à 10:58:13 »

Je ne pense pas que la syntaxe pour Bind < 9.9.6 soit nécessaire... cette version date de septembre 2014 et est vulnérable

Anonyme · « **Réponse #5 le:** 08 mai 2018 à 11:29:07 »

C'est pas le propos

Tu fais comment quand il y a un nouveau RR IANA avec un nouvel RFC pour implèmenter dans un Bind qui n'a pas encore la spécification d'intégrée au code ?
Tu me diras il y pas de nouveaux RFC et codes IANA tous les jours.

vivien · « **Réponse #6 le:** 09 mai 2018 à 16:25:35 »

https://www.ssllabs.com/ssltest/ remonte l'information DNS CAA :

Auteur Sujet: DNS Certification Authority Authorization dispo chez OVH (Lu 9197 fois)

Anonyme

Anonyme