Après cinq mois d'absence de problèmes ou d'erreurs avec mon certificat Comodo sur un site Web personnel, soudain, il y a deux ou trois jours, je me fais mal à l'aise: "Le certificat ne provient pas d'une autorité de confiance", erreur lors de l'affichage sur mon Android mobile. (Aucune erreur ne s’affiche lors de la visualisation sur le bureau, ni lors de la visualisation du site Web sur l’iPhone d’un ami.)
En essayant de résoudre, je lancerais ssllabs.com à ce sujet. Tous les résultats sont verts, sauf pour un 'DNS CAA' orange qui renvoie 'Non'.
Est-ce que quelqu'un sait ce qu'est 'DNS CAA'? J'ai visité blog de Qualys pour plus d'informations, mais je ne l'ai pas bien comprise. De plus, il semblerait qu'ils aient dit que ces changements DNS CAA avaient eu lieu en 2017. Je ne comprends donc pas non plus pourquoi j'avais soudainement des erreurs alors que cela fonctionnait auparavant (je m'étais inscrit pour le certificat en février 2018). Est-ce quelque chose en dehors de mon contrôle, pour que Comodo se règle lui-même?
Deuxièmement: Ce "DNS CAA No" pourrait-il être la cause des erreurs Android? Si oui, pourquoi lancerait-il uniquement Android, alors que tout semble fonctionner correctement sur d'autres plates-formes?
Résultats des tests de site Web: https://www.ssllabs.com/ssltest/analyze.html?d=method.moda&latest
Imaginez un monde avec 2 AC G
(bon) et B
(mauvais).
Il serait bien de dire explicitement que vous voulez seulement que G
délivre des certificats pour votre domaine, de manière standard, de sorte que même si quelqu'un enfreint les couches extérieures de B
, l'émission doit être bloquée, car les systèmes qui acceptent la demande interne arrêteraient la délivrance.
Pour mon domaine, j'ai les enregistrements CAA suivants:
jrtapsell.co.uk. 300 IN CAA 0 issuewild "comodoca.com"
jrtapsell.co.uk. 300 IN CAA 0 issuewild "digicert.com"
jrtapsell.co.uk. 300 IN CAA 0 issuewild "globalsign.com"
jrtapsell.co.uk. 300 IN CAA 0 issue "comodoca.com"
jrtapsell.co.uk. 300 IN CAA 0 issue "digicert.com"
jrtapsell.co.uk. 300 IN CAA 0 issue "globalsign.com"
jrtapsell.co.uk. 300 IN CAA 0 issue "letsencrypt.org"
jrtapsell.co.uk. 300 IN CAA 0 issuewild "letsencrypt.org"
Il s’agit des enregistrements par défaut pour Cloudflare, auxquels LetsEncrypt a été ajouté. Cela signifie que tous:
comodoca.com
digicert.com
globalsign.com
letsencrypt.org
peut émettre à la fois des certificats de domaine unique et des certificats génériques pour mon domaine. En théorie, cela signifie que si une personne parvient à violer les couches extérieures de l'infrastructure d'une autorité de certification, elle ne devrait pas être en mesure d'émettre des certificats pour mon domaine (si les couches intérieures sont violées, il est très peu possible de prévenir ce problème, mais Un système comme Certificate Transparency peut aider dans ce cas)
Non, CAA affecte uniquement l'émission, pas l'utilisation du certificat résultant. Toute erreur dans l'enregistrement CAA doit donc uniquement empêcher l'émission immédiatement.