Nouvelle fonctionnalité CAA pour S/MIME : ce que vous devez savoir

En janvier de cette année, le CA/Browser Forum a accepté d'étendre les enregistrements CAA. Andreas Soll explique ce qui a changé.

Depuis septembre, un nouvel enregistrement CAA "issuemail" est disponible pour contrôler l'émission de certificats S/MIME. Les nouvelles fonctionnalités CAA pour S/MIME ont été formalisées dans la RFC 9495.

• Qu'est-ce qu'un enregistrement CAA?

Les enregistrements d'autorisation d'autorité de certification (CAA) sont un type d'enregistrement de ressource de serveur de noms de domaine (DNS) qui permet aux propriétaires de domaines de restreindre l'émission de certificats SSL/TLS à des autorités de certification (CA) spécifiques.

• Qu'est-ce que S/MIME ?

Les certificats S/MIME sont souvent appelés certificats de signature électronique ou certificats d'authentification personnelle. Ils fournissent un chiffrement de bout en bout pour les données MIME, telles que les messages électroniques, garantissant l'authentification de l'expéditeur, l'intégrité des messages, la confidentialité et la sécurité des données.

• Quel est l'impact du nouveau CAA « issuemail » ?

L'introduction des exigences de base S/MIME dans les entrées CAA fournit désormais un moyen standardisé de définir les exigences pour l'émission de certificats S/MIME. Cela signifie que vous pouvez désormais restreindre l'autorité de certification (CA) ou même interdire complètement l'émission de certificats S/MIME.

• Je ne trouve pas cette fonction auprès de mon fournisseur. Quand sera-t-elle disponible ?

Questel a déjà implémenté cette fonctionnalité et la met immédiatement à disposition des clients de nos services de domaines d'entreprise . Les autres fournisseurs DNS sont tenus de l'implémenter d'ici le 15 mars 2025. À partir de cette date, la prise en charge de cette fonctionnalité deviendra obligatoire.

• À quoi ressemble le disque?

En plus des balises CAA existantes telles que issue, issuewild et iodef, la nouvelle balise issuemail est désormais utilisée pour contrôler l'émission de certificats S/MIME. L'enregistrement pourrait ressembler à ceci :

exemple.com CAA 0 issuemail "yourcertificateauthority.com"

Dans cet exemple, seule l'autorité de certification yourcertificateauthority.com est autorisée à émettre des certificats S/MIME.

Si vous souhaitez interdire complètement l'émission de certificats, vous pouvez le faire avec la configuration suivante :

exemple.com CAA 0 issuemail ";"

Dans cet exemple, personne n'est autorisé à émettre un certificat S/MIME pour le domaine example.com.

Pour plus d'informations sur le changement, veuillez contacter l'équipe Questel Domains