Aller au contenu
D1
FR

Sécurité des certificats

Vérificateur d'enregistrements CAA

Consultez les enregistrements CAA DNS à l'apex du domaine, analysez issue, issuewild et iodef et examinez les alertes d'émission.

Ce formulaire appelle le point de terminaison relatif: /site-api/tools/caa

Comment utiliser l'outil

  1. CAA est publié en enregistrements DNS CAA à l’apex du domaine. Avant d’émettre un certificat, les AC de confiance publique doivent vérifier CAA et respecter les tags issue, issuewild et iodef. Listez AC actuelles et futures, publiez issue pour chaque autorité, ajoutez issuewild si wildcard requis, iodef en option, puis validez avant CSR ou commande ACME. Pour « tag issue et autorités autorisées », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.
  2. CAA est publié en enregistrements DNS CAA à l’apex du domaine. Avant d’émettre un certificat, les AC de confiance publique doivent vérifier CAA et respecter les tags issue, issuewild et iodef. Listez AC actuelles et futures, publiez issue pour chaque autorité, ajoutez issuewild si wildcard requis, iodef en option, puis validez avant CSR ou commande ACME. Pour « issuewild et certificats wildcard TLS », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.
  3. CAA est publié en enregistrements DNS CAA à l’apex du domaine. Avant d’émettre un certificat, les AC de confiance publique doivent vérifier CAA et respecter les tags issue, issuewild et iodef. Listez AC actuelles et futures, publiez issue pour chaque autorité, ajoutez issuewild si wildcard requis, iodef en option, puis validez avant CSR ou commande ACME. Pour « URLs iodef pour signalement d’incidents », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.
  4. CAA est publié en enregistrements DNS CAA à l’apex du domaine. Avant d’émettre un certificat, les AC de confiance publique doivent vérifier CAA et respecter les tags issue, issuewild et iodef. Listez AC actuelles et futures, publiez issue pour chaque autorité, ajoutez issuewild si wildcard requis, iodef en option, puis validez avant CSR ou commande ACME. Pour « CAA absent et émission permissive », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.
  5. CAA est publié en enregistrements DNS CAA à l’apex du domaine. Avant d’émettre un certificat, les AC de confiance publique doivent vérifier CAA et respecter les tags issue, issuewild et iodef. Listez AC actuelles et futures, publiez issue pour chaque autorité, ajoutez issuewild si wildcard requis, iodef en option, puis validez avant CSR ou commande ACME. Pour « contrôles CAA avant renouvellement SSL », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.
  6. CAA est publié en enregistrements DNS CAA à l’apex du domaine. Avant d’émettre un certificat, les AC de confiance publique doivent vérifier CAA et respecter les tags issue, issuewild et iodef. Listez AC actuelles et futures, publiez issue pour chaque autorité, ajoutez issuewild si wildcard requis, iodef en option, puis validez avant CSR ou commande ACME. Pour « sémantique du flag critique », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

Ce que montre le résultat

Le résultat sépare les signaux importants pour ce contrôle.

ChampRôleExemple
DomaineCAA est publié en enregistrements DNS CAA à l’apex du domaine. Avant d’émettre un certificat, les AC de confiance publique doivent vérifier CAA et respecter les tags issue, issuewild et iodef. Pour « tag issue et autorités autorisées », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.Saisissez l’apex à certifier ou renouveler.
Nom de requêteCAA est publié en enregistrements DNS CAA à l’apex du domaine. Avant d’émettre un certificat, les AC de confiance publique doivent vérifier CAA et respecter les tags issue, issuewild et iodef. Pour « issuewild et certificats wildcard TLS », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.Confirmez des enregistrements CAA avant la commande.
FoundCAA est publié en enregistrements DNS CAA à l’apex du domaine. Avant d’émettre un certificat, les AC de confiance publique doivent vérifier CAA et respecter les tags issue, issuewild et iodef. Pour « URLs iodef pour signalement d’incidents », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.Examinez issue pour le hostname de votre AC.
ValidCAA est publié en enregistrements DNS CAA à l’apex du domaine. Avant d’émettre un certificat, les AC de confiance publique doivent vérifier CAA et respecter les tags issue, issuewild et iodef. Pour « CAA absent et émission permissive », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.Comparez issuewild séparément de la policy issue apex.
RecordsCAA est publié en enregistrements DNS CAA à l’apex du domaine. Avant d’émettre un certificat, les AC de confiance publique doivent vérifier CAA et respecter les tags issue, issuewild et iodef. Pour « contrôles CAA avant renouvellement SSL », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.Ajoutez iodef mailto ou HTTPS si possible.
issueCAA est publié en enregistrements DNS CAA à l’apex du domaine. Avant d’émettre un certificat, les AC de confiance publique doivent vérifier CAA et respecter les tags issue, issuewild et iodef. Pour « sémantique du flag critique », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.Relancez après TTL lors d’une migration AC.
issuewildCAA est publié en enregistrements DNS CAA à l’apex du domaine. Avant d’émettre un certificat, les AC de confiance publique doivent vérifier CAA et respecter les tags issue, issuewild et iodef. Pour « tag issue et autorités autorisées », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.Saisissez l’apex à certifier ou renouveler.
iodefCAA est publié en enregistrements DNS CAA à l’apex du domaine. Avant d’émettre un certificat, les AC de confiance publique doivent vérifier CAA et respecter les tags issue, issuewild et iodef. Pour « issuewild et certificats wildcard TLS », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.Confirmez des enregistrements CAA avant la commande.

Quand ce contrôle aide

Utilisez le checker lors de migrations AC, planification wildcard, questionnaires sécurité et audits pré-renouvellement. CAA ne remplace pas la validation SSL — croisez avec SSL Certificate Checker après émission. Pour « tag issue et autorités autorisées », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

Utilisez le checker lors de migrations AC, planification wildcard, questionnaires sécurité et audits pré-renouvellement. CAA ne remplace pas la validation SSL — croisez avec SSL Certificate Checker après émission. Pour « issuewild et certificats wildcard TLS », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

Utilisez le checker lors de migrations AC, planification wildcard, questionnaires sécurité et audits pré-renouvellement. CAA ne remplace pas la validation SSL — croisez avec SSL Certificate Checker après émission. Pour « URLs iodef pour signalement d’incidents », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

Utilisez le checker lors de migrations AC, planification wildcard, questionnaires sécurité et audits pré-renouvellement. CAA ne remplace pas la validation SSL — croisez avec SSL Certificate Checker après émission. Pour « CAA absent et émission permissive », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

Utilisez le checker lors de migrations AC, planification wildcard, questionnaires sécurité et audits pré-renouvellement. CAA ne remplace pas la validation SSL — croisez avec SSL Certificate Checker après émission. Pour « contrôles CAA avant renouvellement SSL », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

Utilisez le checker lors de migrations AC, planification wildcard, questionnaires sécurité et audits pré-renouvellement. CAA ne remplace pas la validation SSL — croisez avec SSL Certificate Checker après émission. Pour « sémantique du flag critique », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

Que vérifier si le résultat semble incorrect

Sans enregistrements, interrogez CAA sur le FQDN exact — en général l’apex. Une réponse vide autorise toute AC publique. Après modification, attendez le TTL et comparez à dig +short CAA example.com. Pour « tag issue et autorités autorisées », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

Sans enregistrements, interrogez CAA sur le FQDN exact — en général l’apex. Une réponse vide autorise toute AC publique. Après modification, attendez le TTL et comparez à dig +short CAA example.com. Pour « issuewild et certificats wildcard TLS », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

Sans enregistrements, interrogez CAA sur le FQDN exact — en général l’apex. Une réponse vide autorise toute AC publique. Après modification, attendez le TTL et comparez à dig +short CAA example.com. Pour « URLs iodef pour signalement d’incidents », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

Sans enregistrements, interrogez CAA sur le FQDN exact — en général l’apex. Une réponse vide autorise toute AC publique. Après modification, attendez le TTL et comparez à dig +short CAA example.com. Pour « CAA absent et émission permissive », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

Sans enregistrements, interrogez CAA sur le FQDN exact — en général l’apex. Une réponse vide autorise toute AC publique. Après modification, attendez le TTL et comparez à dig +short CAA example.com. Pour « contrôles CAA avant renouvellement SSL », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

Sans enregistrements, interrogez CAA sur le FQDN exact — en général l’apex. Une réponse vide autorise toute AC publique. Après modification, attendez le TTL et comparez à dig +short CAA example.com. Pour « sémantique du flag critique », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

Comment interpréter le résultat

CAA est publié en enregistrements DNS CAA à l’apex du domaine. Avant d’émettre un certificat, les AC de confiance publique doivent vérifier CAA et respecter les tags issue, issuewild et iodef. Pour « tag issue et autorités autorisées », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

CAA est publié en enregistrements DNS CAA à l’apex du domaine. Avant d’émettre un certificat, les AC de confiance publique doivent vérifier CAA et respecter les tags issue, issuewild et iodef. Pour « issuewild et certificats wildcard TLS », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

CAA est publié en enregistrements DNS CAA à l’apex du domaine. Avant d’émettre un certificat, les AC de confiance publique doivent vérifier CAA et respecter les tags issue, issuewild et iodef. Pour « URLs iodef pour signalement d’incidents », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

CAA est publié en enregistrements DNS CAA à l’apex du domaine. Avant d’émettre un certificat, les AC de confiance publique doivent vérifier CAA et respecter les tags issue, issuewild et iodef. Pour « CAA absent et émission permissive », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

CAA est publié en enregistrements DNS CAA à l’apex du domaine. Avant d’émettre un certificat, les AC de confiance publique doivent vérifier CAA et respecter les tags issue, issuewild et iodef. Pour « contrôles CAA avant renouvellement SSL », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

CAA est publié en enregistrements DNS CAA à l’apex du domaine. Avant d’émettre un certificat, les AC de confiance publique doivent vérifier CAA et respecter les tags issue, issuewild et iodef. Pour « sémantique du flag critique », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

Flux recommandé

  1. Saisissez l’apex à certifier ou renouveler.
  2. Confirmez des enregistrements CAA avant la commande.
  3. Examinez issue pour le hostname de votre AC.
  4. Comparez issuewild séparément de la policy issue apex.
  5. Ajoutez iodef mailto ou HTTPS si possible.
  6. Relancez après TTL lors d’une migration AC.

Outil ou vérification manuelle

dig CAA example.com montre les RR bruts sans regrouper issue/issuewild ni expliquer l’absence permissive. DNS Checker liste CAA sans alertes d’émission. DN01 utilise le même lookup Go que l’API de production. Pour « tag issue et autorités autorisées », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

dig CAA example.com montre les RR bruts sans regrouper issue/issuewild ni expliquer l’absence permissive. DNS Checker liste CAA sans alertes d’émission. DN01 utilise le même lookup Go que l’API de production. Pour « issuewild et certificats wildcard TLS », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

dig CAA example.com montre les RR bruts sans regrouper issue/issuewild ni expliquer l’absence permissive. DNS Checker liste CAA sans alertes d’émission. DN01 utilise le même lookup Go que l’API de production. Pour « URLs iodef pour signalement d’incidents », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

dig CAA example.com montre les RR bruts sans regrouper issue/issuewild ni expliquer l’absence permissive. DNS Checker liste CAA sans alertes d’émission. DN01 utilise le même lookup Go que l’API de production. Pour « CAA absent et émission permissive », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

dig CAA example.com montre les RR bruts sans regrouper issue/issuewild ni expliquer l’absence permissive. DNS Checker liste CAA sans alertes d’émission. DN01 utilise le même lookup Go que l’API de production. Pour « contrôles CAA avant renouvellement SSL », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

dig CAA example.com montre les RR bruts sans regrouper issue/issuewild ni expliquer l’absence permissive. DNS Checker liste CAA sans alertes d’émission. DN01 utilise le même lookup Go que l’API de production. Pour « sémantique du flag critique », considérez le CAA publié comme le contrat d’émission que les AC évaluent à la commande. Documentez chaque tag, confirmez la policy wildcard séparément et vérifiez iodef avant renouvellement. Après modification DNS, relancez le même domaine.

Pourquoi utiliser DN01

  • Lookup CAA live à l’apex
  • Tags issue, issuewild et iodef parsés
  • Alertes CAA manquant
  • Notes tag inconnu et flag critique
  • À combiner avec outils SSL et DNS
  • URL de résultat CAA partageable

FAQ

FAQ checker CAA

Enregistrements DNS CAA, tags issue et issuewild, AC autorisées et iodef.

Qu’est-ce qu’un enregistrement CAA ?

CAA est un type DNS listant les AC autorisées à émettre des certificats TLS via issue, issuewild et iodef. guide bases CAA

Où publier CAA ?

Publiez CAA à l’apex du domaine certifié (example.com).

Différence issue vs issuewild ?

issue régit les certificats standard ; issuewild les wildcard séparément (RFC 8659).

Comment DN01 vérifie CAA ?

DN01 interroge CAA live à l’apex, parse les tags et signale policy manquante ou inconnue.

Que se passe-t-il sans CAA ?

Sans CAA, toute AC publique peut émettre — publiez CAA avant renouvellement.

Pourquoi vérifier CAA avant renouvellement SSL ?

Les migrations AC échouent si CAA bloque le nouvel émetteur — validez avant la commande.

Sélecteur d'outil

Choisissez la prochaine étape de votre flux de travail domaine ou sécurité.

Catalogue complet d'outils

Guides

Guides pratiques pour les tâches courantes avec Vérificateur d'enregistrements CAA — enregistrements DNS, dépannage et liens vers nos outils gratuits.

Retour à Vérificateur d'enregistrements CAA