Comment résoudre les erreurs CAA pour l'émission ou le renouvellement d'un certificat ACM ?

Lecture de 7 minute(s)
0

J'ai demandé un nouveau certificat ou j'ai essayé renouveler un certificat avec AWS Certificate Manager (ACM). Le statut du nom de domaine est « Échec », et j'ai reçu une erreur similaire à ce qui suit : « La demande a échoué. Le statut de ce certificat est « Échec ». Un ou plusieurs noms de domaines ont échoué à la validation en raison d'une erreur d'authentification d'autorité de certification (CAA). » Le statut de validation est « Réussi », même si la demande de certificat a échoué.

Brève description

Un enregistrement d'autorisation d'autorité de certification (CAA, Certificate Authority Authorization) est un enregistrement DNS qui vous permet de contrôler quelle autorité de certification (CA, Certificate Authority) peut émettre des certificats pour votre domaine ou sous-domaine. Lors de la demande ou du renouvellement d'un certificat ACM, ACM vérifie les enregistrements CAA pour vérifier que le propriétaire du domaine autorise ACM à émettre un certificat SSL pour le domaine. Les contrôles CAA effectués répondent aux conditions suivantes :

  • La vérification des enregistrements CAA fait remonter l'arborescence des noms DNS
  • L'absence d'enregistrement CAA signifie que n'importe quelle autorité de certification peut émettre des certificats
  • La vérification des enregistrements CAA suit l'enregistrement CNAME.
  • La balise « issue » peut être utilisée pour les domaines non génériques et les domaines génériques, tandis que la balise « issuewild » affecte uniquement les domaines génériques.

Résolution

La vérification des enregistrements CAA fait remonter l'arborescence des noms DNS

La vérification des enregistrements CAA commence au niveau du domaine de la requête, puis monte dans l'arborescence de noms DNS. Si vous demandez un certificat pour www.example.com, ACM vérifie d'abord l'enregistrement CAA pour le domaine de troisième niveau www.example.com, suivi du nom de domaine de deuxième niveau example.com.

Une fois l'enregistrement CAA trouvé, la recherche CAA s'arrête et l'enregistrement prend effet. Les exemples suivants montrent quel enregistrement CAA prend effet lorsque vous demandez un certificat pour www.example.com :

(Example 1 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issue   "SomeCA.com"

(Result: CAA passed)

L'enregistrement du nom de domaine de troisième niveau prend effet, ce qui permet à ACM d'émettre le certificat. L'enregistrement de nom de domaine de deuxième niveau n'est pas utilisé.

(Example 2 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA failed)

Le premier enregistrement prend effet, ce qui empêche ACM d'émettre le certificat. Le deuxième enregistrement est ignoré.

(Example 3 / www.example.com)
Domain   Record type  Flags  Tag      Value   
test.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Le premier enregistrement n'affecte pas l'enregistrement CAA pour www.example.com. Le deuxième enregistrement prend effet, ce qui permet à ACM d'émettre le certificat.

Les exemples suivants montrent quel enregistrement CAA prend effet lorsque vous demandez un certificat pour example.com :

(Example 4 / example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issue   "SomeCA.com"

(Result: CAA failed)

Le premier enregistrement n'est pas pris en compte car www.example.com est un sous-domaine du domaine demandé et la vérification des enregistrements CAA ne descend pas dans l'arborescence DNS. Le deuxième enregistrement prend effet, ce qui empêche ACM d'émettre le certificat.

(Example 5 / example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Le premier enregistrement est ignoré car www.example.com est un sous-domaine du domaine demandé et la vérification des enregistrements CAA ne descend pas dans l'arborescence des noms DNS. Le deuxième enregistrement prend effet, ce qui permet à ACM d'émettre le certificat.

L'absence d'enregistrement CAA signifie que n'importe quelle autorité de certification peut émettre des certificats

Si vous ne configurez pas d'enregistrement CAA pour le domaine demandé, n'importe quelle autorité de certification, y compris ACM, est autorisée à émettre des certificats pour votre domaine. Par exemple, ACM peut émettre des certificats pour example.com dans l'exemple suivant :

(Example 6 / example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   ";"

(Result: CAA passed)

Étant donné que la vérification CAA ne descend pas dans l'arborescence DNS, l'enregistrement est ignoré.

La vérification des enregistrements CAA suit l'enregistrement CNAME.

La vérification des enregistrements CAA se poursuit avec l'enregistrement CNAME pointant vers un autre domaine. Dans cet exemple, www.example.com pointe vers www.example.net, qui possède un enregistrement CAA :

(Example 7 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CNAME www.example.net
www.example.net.   CAA           0      issue   ";"

(Result: CAA failed)

Le premier enregistrement détourne la vérification CAA vers www.example.net. Cet enregistrement CAA empêche toute autorité de certification d'émettre des certificats, et ACM ne peut pas émettre de certificats pour www.example.com.

Si le domaine pointé (www.example.net) ne possède pas d'enregistrement CAA, la vérification des enregistrements CAA est déplacée vers le domaine de base (exemple.com).

(Example 8 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CNAME www.example.net
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Dans ce scénario, ACM peut émettre des certificats pour www.exemple.com car aucun enregistrement CAA n'est configuré sur www.exemple.net. Notez que la vérification des enregistrements CAA ne se déplace pas vers le parent d'un enregistrement CNAME et que l'enregistrement CAA de example.net n'est pas vérifié. Pour plus d'informations, consultez l'ANNEXE A dans la rubrique Exigences de référence pour l'émission et la gestion de certificats approuvés publiquement.

La balise « issue » peut être utilisée à la fois pour un domaine non générique et un domaine générique, tandis que la balise « issuewild » affecte uniquement le domaine générique

La balise « issue » permet à l'autorité de certification d'émettre des certificats pour les domaines non génériques (www.example.com) et les domaines génériques (*.example.com). Vous pouvez utiliser la balise « issuewild » pour indiquer comment l'autorité de certification gère les domaines génériques. Les exemples suivants montrent quel enregistrement CAA prend effet lorsque vous demandez un certificat pour *.example.com :

(Example 9 / *.example.com)
Domain   Record type  Flags  Tag      Value   
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

L'enregistrement CAA permet à ACM d'émettre à la fois un certificat de domaine non générique et un certificat de domaine générique, et ACM peut émettre le certificat.

(Example 10 / *.example.com)
Domain   Record type  Flags  Tag      Value   
example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA failed)

Le champ de balise « issuewild » remplace « issue » pour une demande de domaine générique, et ACM ne peut pas émettre le certificat.

Remarque : vous devez configurer un enregistrement CAA pour example.com afin d'autoriser l'autorité de certification à émettre des certificats pour *.example.com.

(Example 11 / *.example.com)
Domain   Record type  Flags  Tag      Value   
*.example.com.   CAA           0      issuewild   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA failed)

Le premier enregistrement CAA est ignoré et le second enregistrement CAA empêche l'autorité de certification d'émettre des certificats pour *.example.com.

L'exemple suivant montre quel enregistrement CAA prend effet lorsque vous demandez un certificat pour *.test.example.com :

(Example 12 / *.test.example.com)
Domain   Record type  Flags  Tag      Value   
test.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA passed)

La vérification CAA trouve le premier enregistrement, met fin à la remontée de l'arborescence de noms DNS et permet à ACM d'émettre le certificat.

La balise « issuewild » est ignorée lorsque vous demandez un domaine non générique. Cet exemple montre quel enregistrement CAA prend effet lorsque vous demandez un certificat pour www.example.com :

(Example 13 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issuewild   "amazon.com"
example.com.   CAA           0      issue   ";"

(Result: CAA failed)

Il s'agit d'une demande de domaine non générique. Le premier enregistrement CAA est donc ignoré. Le deuxième enregistrement CAA prend effet et l'autorité de certification n'est pas autorisée à émettre le certificat.

Pour plus d'informations sur la création d'un enregistrement CAA, consultez (Facultatif) Configurer un enregistrement CAA.


Informations connexes

Enregistrement de ressources d'autorisation d'autorité de certification (CAA) DNS

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 ans