web-dev-qa-db-fra.com

"DNS CAA No" de ssllabs.com; Cause de Android Erreur?

Après cinq mois d'absence de problèmes ou d'erreurs avec mon certificat Comodo sur un site Web personnel, soudain, il y a deux ou trois jours, je me fais mal à l'aise: "Le certificat ne provient pas d'une autorité de confiance", erreur lors de l'affichage sur mon Android mobile. (Aucune erreur ne s’affiche lors de la visualisation sur le bureau, ni lors de la visualisation du site Web sur l’iPhone d’un ami.)

En essayant de résoudre, je lancerais ssllabs.com à ce sujet. Tous les résultats sont verts, sauf pour un 'DNS CAA' orange qui renvoie 'Non'.

Est-ce que quelqu'un sait ce qu'est 'DNS CAA'? J'ai visité blog de Qualys pour plus d'informations, mais je ne l'ai pas bien comprise. De plus, il semblerait qu'ils aient dit que ces changements DNS CAA avaient eu lieu en 2017. Je ne comprends donc pas non plus pourquoi j'avais soudainement des erreurs alors que cela fonctionnait auparavant (je m'étais inscrit pour le certificat en février 2018). Est-ce quelque chose en dehors de mon contrôle, pour que Comodo se règle lui-même?

Deuxièmement: Ce "DNS CAA No" pourrait-il être la cause des erreurs Android? Si oui, pourquoi lancerait-il uniquement Android, alors que tout semble fonctionner correctement sur d'autres plates-formes?

Résultats des tests de site Web: https://www.ssllabs.com/ssltest/analyze.html?d=method.moda&latest

3
Shaun of the Dead

Qu'est-ce que CAA?

Imaginez un monde avec 2 AC G (bon) et B (mauvais).

Il serait bien de dire explicitement que vous voulez seulement que G délivre des certificats pour votre domaine, de manière standard, de sorte que même si quelqu'un enfreint les couches extérieures de B, l'émission doit être bloquée, car les systèmes qui acceptent la demande interne arrêteraient la délivrance.

Exemple du monde réel

Pour mon domaine, j'ai les enregistrements CAA suivants:

jrtapsell.co.uk.    300 IN  CAA 0 issuewild "comodoca.com"
jrtapsell.co.uk.    300 IN  CAA 0 issuewild "digicert.com"
jrtapsell.co.uk.    300 IN  CAA 0 issuewild "globalsign.com"
jrtapsell.co.uk.    300 IN  CAA 0 issue "comodoca.com"
jrtapsell.co.uk.    300 IN  CAA 0 issue "digicert.com"
jrtapsell.co.uk.    300 IN  CAA 0 issue "globalsign.com"
jrtapsell.co.uk.    300 IN  CAA 0 issue "letsencrypt.org"
jrtapsell.co.uk.    300 IN  CAA 0 issuewild "letsencrypt.org"

Il s’agit des enregistrements par défaut pour Cloudflare, auxquels LetsEncrypt a été ajouté. Cela signifie que tous:

  • comodoca.com
    • Comodo
  • digicert.com
    • DigiCert
    • Symantec
    • GeoTrust
    • Thawte
    • RapidSSL
  • globalsign.com
    • GlobalSign
  • letsencrypt.org
    • Cryptons

peut émettre à la fois des certificats de domaine unique et des certificats génériques pour mon domaine. En théorie, cela signifie que si une personne parvient à violer les couches extérieures de l'infrastructure d'une autorité de certification, elle ne devrait pas être en mesure d'émettre des certificats pour mon domaine (si les couches intérieures sont violées, il est très peu possible de prévenir ce problème, mais Un système comme Certificate Transparency peut aider dans ce cas)

La CAA pourrait-elle causer cela?

Non, CAA affecte uniquement l'émission, pas l'utilisation du certificat résultant. Toute erreur dans l'enregistrement CAA doit donc uniquement empêcher l'émission immédiatement.

3
jrtapsell