Comment résoudre le message d'erreur « Échec » de CAA lorsqu'un certificat ACM est émis ou renouvelé ?

Lecture de 7 minute(s)
0

J'ai demandé un nouveau certificat ou essayé de renouveler un certificat avec AWS Certificate Manager (ACM), mais le statut du nom de domaine est « Échec ». Le statut de validation est « Réussite », même si la demande de certificat a échoué.

Brève description

Un enregistrement CAA (Certificate Authority Authorization, Autorisation de l’autorité de certification) est un enregistrement DNS. Cet enregistrement vous permet de contrôler l'autorité de certification (CA) qui peut émettre des certificats pour votre domaine. ACM contrôle les enregistrements CAA pour vérifier que le propriétaire du domaine autorise ACM à émettre un certificat SSL pour le domaine. La CAA vérifie les conditions suivantes :

  • La vérification des enregistrements CAA remonte dans l'arborescence de noms DNS.
  • L'absence d'enregistrement CAA signifie que n'importe quelle autorité de certification peut émettre des certificats.
  • La vérification des enregistrements CAA suit l'enregistrement CNAME.
  • La balise « issue » peut être utilisée à la fois pour les domaines non génériques et les domaines génériques, alors que la balise « issuewild » ne concerne que les domaines génériques.

Résolution

La vérification des enregistrements CAA remonte dans l'arborescence de noms DNS

La vérification des enregistrements CAA commence au niveau du domaine de demande, puis remonte dans l'arborescence de noms DNS. Si vous demandez un certificat pour www.example.com, ACM vérifie d'abord l'enregistrement CAA pour le domaine de troisième niveau www.example.com. ACM recherche ensuite le nom de domaine de deuxième niveau example.com.

Une fois l'enregistrement CAA trouvé, la recherche CAA s'arrête et l'enregistrement prend effet. Les exemples suivants illustrent quel enregistrement CAA prend effet lorsque vous demandez un certificat pour www.example.com :

(Example 1 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issue   "SomeCA.com"

(Result: CAA passed)

L'enregistrement du nom de domaine de troisième niveau prend effet, ce qui permet à ACM d'émettre le certificat. L'enregistrement du nom de domaine de deuxième niveau n'est pas utilisé.

(Example 2 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA failed)

Le premier enregistrement prend effet, ce qui empêche ACM d’émettre le certificat. Le deuxième enregistrement est ignoré.

(Example 3 / www.example.com)Domain   Record type  Flags  Tag      Value   
test.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Le premier enregistrement n'affecte pas l’enregistrement CAA pour www.example.com. Le deuxième enregistrement prend effet, ce qui permet à ACM d’émettre le certificat.

Les exemples suivants illustrent quel enregistrement CAA prend effet lorsque vous demandez un certificat pour example.com :

(Example 4 / example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issue   "SomeCA.com"

(Result: CAA failed)

Le premier enregistrement ne prend pas effet car www.example.com est un sous-domaine du domaine demandé et la vérification des enregistrements CAA ne descend pas dans l'arborescence DNS. Le deuxième enregistrement prend effet, ce qui empêche ACM d’émettre le certificat.

(Example 5 / example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Le premier enregistrement est ignoré car www.example.com est un sous-domaine du domaine demandé et la vérification des enregistrements CAA ne descend pas dans l'arborescence de noms DNS. Le deuxième enregistrement prend effet, ce qui permet à ACM d’émettre le certificat.

L'absence d'enregistrement CAA signifie que n'importe quelle autorité de certification peut émettre des certificats

Si vous ne configurez pas d'enregistrement CAA pour le domaine demandé, toute autorité de certification, y compris ACM, peut émettre des certificats pour votre domaine. Par exemple, ACM peut émettre des certificats pour example.com dans l'exemple suivant :

(Example 6 / example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   ";"

(Result: CAA passed)

Étant donné que la vérification CAA ne descend pas dans l'arborescence DNS, l'enregistrement est ignoré.

La vérification des enregistrements CAA suit l'enregistrement CNAME

La vérification des enregistrements CAA se poursuit avec l'enregistrement CNAME qui pointe vers un autre domaine. Dans cet exemple, www.example.com pointe vers www.example.net, qui comprend un enregistrement CAA :

(Example 7 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CNAME www.example.net
www.example.net.   CAA           0      issue   ";"

(Result: CAA failed)

Le premier enregistrement redirige la vérification CAA vers www.example.net. Cet enregistrement CAA empêche toute autorité de certification d'émettre des certificats, et ACM ne peut pas émettre de certificats pour www.example.com.

Si le domaine pointé www.example.net ne comporte pas d'enregistrement CAA, la vérification des enregistrements CAA remonte vers le domaine de base example.com.

(Example 8 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CNAME www.example.net
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Dans ce scénario, ACM peut émettre des certificats pour www.example.com car aucun enregistrement CAA n'est configuré pour www.example.net. Notez que la vérification des enregistrements CAA ne remonte pas dans le parent d'un enregistrement CNAME et que l'enregistrement CAA d’example.net n'est pas vérifié. Pour plus d'informations, consultez l’ANNEXE A sur le site Web de CA/Browser Forum.

La balise « issue » peut être utilisée à la fois pour un domaine non générique et un domaine générique, alors que la balise « issuewild » n'affecte que le domaine générique

La balise « issue » permet à l’autorité de certification d’émettre des certificats à la fois pour les domaines non génériques www.example.com et les domaines génériques *.example.com. Vous pouvez utiliser la balise « issuewild » pour indiquer comment une autorité de certification gère les domaines génériques. Les exemples suivants illustrent quel enregistrement CAA prend effet lorsque vous demandez un certificat pour *.example.com :

(Example 9 / *.example.com)Domain   Record type  Flags  Tag      Value   
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

L'enregistrement CAA permet à ACM d'émettre à la fois un certificat de domaine non générique et un certificat de domaine générique, et ACM peut émettre le certificat.

(Example 10 / *.example.com)Domain   Record type  Flags  Tag      Value   
example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA failed)

Le champ de balise « issuewild » remplace « issue » pour une demande de domaine générique, et ACM ne peut pas émettre le certificat. Remarque : vous devez configurer un enregistrement CAA pour example.com afin de permettre à l’autorité de certification d'émettre des certificats pour *.example.com.

(Example 11 / *.example.com)Domain   Record type  Flags  Tag      Value   
*.example.com.   CAA           0      issuewild   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA failed)

Le premier enregistrement CAA est ignoré et le deuxième enregistrement CAA empêche l’autorité de certification d’émettre des certificats pour *.example.com.

L'exemple suivant illustre quel enregistrement CAA prend effet lorsque vous demandez un certificat pour *.test.example.com :

(Example 12 / *.test.example.com)Domain   Record type  Flags  Tag      Value   
test.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA passed)

Le contrôle CAA détecte le premier enregistrement, cesse de remonter dans l'arborescence de noms DNS et autorise ACM à émettre le certificat.

La balise « issuewild » est ignorée lorsque vous demandez un domaine non générique. Cet exemple illustre quel enregistrement CAA prend effet lorsque vous demandez un certificat pour www.example.com :

(Example 13 / www.example.com)Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issuewild   "amazon.com"
example.com.   CAA           0      issue   ";"

(Result: CAA failed)

Il s'agit d'une demande de domaine non générique, le premier enregistrement CAA est donc ignoré. Le deuxième enregistrement CAA prend effet et l’autorité de certification n'est pas autorisée à émettre le certificat.

Pour plus d'informations sur la configuration d'un enregistrement CAA, consultez la section (Facultatif) configurer un enregistrement CAA.

Informations connexes

Enregistrement de ressources d'autorisation de l'autorité de certification (CAA) DNS sur le site Web de Datatracker

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an