Comment résoudre les erreurs CAA pour l'émission ou le renouvellement d'un certificat ACM ?

Date de la dernière mise à jour : 15/04/2020

J'ai demandé un nouveau certificat ou essayé de le renouveler avec AWS Certificate Manager (ACM). Le statut du nom de domaine est « Échec », et j'ai reçu une erreur similaire à ce qui suit :

« La demande a échoué. Le statut de ce certificat est "Échec". Un ou plusieurs noms de domaines ont échoué à la validation en raison d'une erreur d'authentification d'autorité de certification (CAA). »

Le statut de validation est « Réussi », même si la demande de certificat a échoué.

Brève description

Un enregistrement d'autorisation d'autorité de certification (CAA) est un enregistrement DNS qui vous permet de contrôler quelle autorité de certification (CA) peut émettre des certificats pour votre domaine ou sous-domaine. Lors de la demande ou du renouvellement d'un certificat ACM, ACM vérifie les enregistrements CAA pour vérifier s'il est autorisé dans les conditions suivantes :

  • La vérification des enregistrements CAA monte dans l'arborescence de noms DNS.
  • L'absence d'enregistrement CAA signifie que n'importe quelle autorité de certification peut émettre des certificats.
  • La vérification des enregistrements CAA suit l'enregistrement CNAME.
  • La balise « issue » peut être utilisée pour les domaines non génériques et les domaines génériques, tandis que la balise « issuewild » affecte uniquement les domaines génériques.

Solution

La vérification des enregistrements CAA monte dans l'arborescence de noms DNS.

La vérification des enregistrements CAA commence au niveau du domaine de la demande, puis monte dans l'arborescence de la hiérarchie DNS. Si vous demandez un certificat pour www.example.com, ACM vérifie d'abord l'enregistrement CAA pour le domaine de troisième niveau www.example.com, suivi du nom de domaine de deuxième niveau example.com.

Une fois l'enregistrement CAA trouvé, la recherche CAA s'arrête et l'enregistrement prend effet. Les exemples suivants montrent quel enregistrement CAA prend effet lorsque vous demandez un certificat pour www.example.com :

(Example 1 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issue   "SomeCA.com"

(Result: CAA passed)

L'enregistrement du nom de domaine de troisième niveau prend effet, ce qui permet à ACM d'émettre le certificat. L'enregistrement de nom de domaine de deuxième niveau n'est pas utilisé.

(Example 2 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA failed)

Le premier enregistrement prend effet, ce qui empêche ACM d'émettre le certificat. Le deuxième enregistrement est ignoré.

(Example 3 / www.example.com)
Domain   Record type  Flags  Tag      Value   
test.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Le premier enregistrement n'affecte pas l'enregistrement CAA pour www.example.com. Le deuxième enregistrement prend effet, ce qui permet à ACM d'émettre le certificat.

Les exemples suivants montrent quel enregistrement CAA prend effet lorsque vous demandez un certificat pour example.com :

(Example 4 / example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issue   "SomeCA.com"

(Result: CAA failed)

Le premier enregistrement n'est pas pris en compte, car www.example.com est un sous-domaine du domaine demandé, et la vérification des enregistrements CAA ne descend pas dans l'arborescence DNS. Le deuxième enregistrement prend effet, ce qui empêche ACM d'émettre le certificat.

(Example 5 / example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   "SomeCA.com"
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Le premier enregistrement est ignoré, car www.example.com est un sous-domaine du domaine demandé, et la vérification des enregistrements CAA ne descend pas dans l'arborescence DNS. Le deuxième enregistrement prend effet, ce qui permet à ACM d'émettre le certificat.

L'absence d'enregistrement CAA signifie que n'importe quelle autorité de certification peut émettre des certificats.

Si vous ne configurez pas d'enregistrement CAA pour le domaine de la demande, toute autorité de certification, y compris ACM, est autorisée à émettre des certificats pour votre domaine. Par exemple, ACM peut émettre des certificats pour example.com dans l'exemple suivant :

(Example 6 / example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issue   ";"

(Result: CAA passed)

Comme la vérification CAA ne descend pas dans l'arborescence DNS, l'enregistrement est ignoré.

La vérification des enregistrements CAA suit l'enregistrement CNAME.

La vérification des enregistrements CAA se poursuit avec l'enregistrement CNAME pointant vers un autre domaine. Dans cet exemple, www.example.com pointe vers www.example.net, qui possède un enregistrement CAA :

(Example 7 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CNAME www.example.net
www.example.net.   CAA           0      issue   ";"

(Result: CAA failed)

Le premier enregistrement détourne la vérification CAA vers www.example.net. Cet enregistrement CAA empêche toute autorité de certification d'émettre des certificats, et ACM ne peut pas émettre de certificats pour www.example.com.

Si le domaine pointé (www.example.net) n'a pas d'enregistrement CAA, la vérification des enregistrements CAA monte au domaine de base (example.net).

(Example 8 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CNAME www.example.net
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

Dans ce scénario, ACM peut émettre des certificats pour www.example.com. Notez que la vérification de l'enregistrement CAA n'atteint pas le parent d'un enregistrement CNAME et que l'enregistrement CAA d'example.net n'est pas vérifié. Pour plus d'informations, consultez l'ANNEXE A dans la ressource Exigences de référence pour l'émission et la gestion de certificats approuvés publiquement.

La balise « issue » peut être utilisée à la fois pour un domaine non générique et un domaine générique, tandis que la balise « issuewild » affecte uniquement le domaine générique

La balise « issue » permet à l'autorité de certification d'émettre des certificats pour les domaines non génériques (www.example.com) et les domaines génériques (*.example.com). Vous pouvez utiliser la balise « issuewild » pour indiquer comment l'autorité de certification gère les domaines génériques. Les exemples suivants montrent quel enregistrement CAA prend effet lorsque vous demandez un certificat pour *.example.com :

(Example 9 / *.example.com)
Domain   Record type  Flags  Tag      Value   
example.com.   CAA           0      issue   "amazon.com"

(Result: CAA passed)

L'enregistrement CAA permet à ACM d'émettre à la fois un certificat de domaine non générique et un certificat de domaine générique, et ACM peut émettre le certificat.

(Example 10 / *.example.com)
Domain   Record type  Flags  Tag      Value   
example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA failed)

Le champ de balise « issuewild » remplace « issue » pour une demande de domaine générique, et ACM ne peut pas émettre le certificat.

Remarque : vous devez configurer un enregistrement CAA pour example.com afin d'autoriser l'autorité de certification à émettre des certificats pour *.example.com.

(Example 11 / *.example.com)
Domain   Record type  Flags  Tag      Value   
*.example.com.   CAA           0      issuewild   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA failed)

Le premier enregistrement CAA est ignoré et le second enregistrement CAA empêche l'autorité de certification d'émettre des certificats pour *.example.com.

L'exemple suivant montre quel enregistrement CAA prend effet lorsque vous demandez un certificat pour *.test.example.com :

(Example 12 / *.test.example.com)
Domain   Record type  Flags  Tag      Value   
test.example.com.   CAA           0      issue   "amazon.com"
example.com.   CAA           0      issuewild   ";"

(Result: CAA passed)

La vérification CAA trouve le premier enregistrement, met fin à l'escalade et permet à ACM d'émettre le certificat.

La balise « issuewild » est ignorée lorsque vous demandez un domaine non générique. Cet exemple montre quel enregistrement CAA prend effet lorsque vous demandez un certificat pour www.example.com :

(Example 13 / www.example.com)
Domain   Record type  Flags  Tag      Value   
www.example.com.   CAA           0      issuewild   "amazon.com"
example.com.   CAA           0      issue   ";"

(Result: CAA failed)

Il s'agit d'une demande de domaine non générique. Le premier enregistrement CAA est donc ignoré. Le deuxième enregistrement CAA prend effet et l'autorité de certification n'est pas autorisée à émettre le certificat.

Pour plus d'informations sur la création d'un enregistrement CAA, consultez (Facultatif) Configurer un enregistrement CAA.


Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d’aide ?