Vous avez sans doute un (voire plusieurs !) certificat SSL pour votre ou vos domaines. Après tout, depuis l’apparition de Let’s Encrypt dans le milieu SSL, il y a quelques années, il est désormais extrêmement aisé d’obtenir un certificat SSL signé, qui vous permettra de sécuriser les communications entre votre serveur et vos clients et clientes.

Cela dit, bien que la sécurisation des communications soit un aspect très important d’un certificat SSL, ce n’est pas le seul rôle joué par ce dernier. En effet, le rôle d’un certificat SSL couvre également la certification de l’authenticité des sites web que vous visitez.

Pour cela, Let’s Encrypt joue le rôle de ce que l’on appelle une autorité de certification (ou certificate authority, en anglais ; CA, que nous utiliserons désormais). Lorsqu’on lui fait une demande de certificat, le CA va en fait signer un certificat, ce qui garantit que le certificat a bel et bien été approuvé par l’autorité en question. Comme le CA signe le certificat avec son propre certificat, on sait qu’il est impossible que quelqu’un d’autre ait pu forger un faux certificat avec ce même CA (à moins bien sûr que le CA ne soit pas digne de confiance…). Ainsi, si vous voyez un certificat qui n’est pas signé, ou qui est signé par un CA obscur, vous pouvez vous douter que quelque chose cloche avec ce certificat.

De nos jours, la plupart des navigateurs et des systèmes d’exploitation viennent avec une liste des autorités les plus importantes. Cela vous permet de naviguer sur le web avec un peu plus de confiance.

Mais ce n’est pas tout ! En effet, dans les dernières années, un nouveau mécanisme a commencé à être mis en place pour améliorer la confiance que vous pouvez porter aux certificats que vous consultez lorsque vous visitez un site. Il s’agit du Certification Authority Authorization (CAA), qui vous permet de définir quels sont les CA autorisés à produire un certificat pour votre domaine, directement dans votre enregistrement de domaine !

Ainsi, vous pouvez autoriser explicitement certains CA pour l’émission de certificats pour votre domaine, ce qui réduit les probabilités qu’une personne mal intentionnée réussisse à se faire forger un certificat non autorisé pour votre domaine par un CA pourtant reconnu. L’enregistrement de CAA est à l’intention des autorités de certification elles-mêmes, et non aux navigateurs web qui vérifient les certificats, mais puisque vous savez que le CA doit respecter un tel enregistrement lors de l’émission de nouveaux certificats, ce nouveau mécanisme vous permet d’augmenter un peu plus votre confiance envers les certificats que vous croisez tous les jours. C’est une étape de plus dans une validation stricte de l’octroi des certificats SSL signés et authentiques.

Bien que le mécanisme d’enregistrements CAA existe depuis un bon moment déjà, jusqu’à tout récemment, les CA n’avaient pas l’obligation de respecter cette information. Cela dit, ce n’est plus le cas depuis le mois de septembre dernier, puisque le CAB, le CA/Browser Forum, a adopté (à 94 % pour les CA et 100 % pour les navigateurs) une résolution à cet effet. Vous pourrez donc voir de plus en plus ce système être mis en place et respecté par les grands joueurs du web.

N’oubliez donc pas de mettre à jour votre enregistrement de domaine pour y inclure votre CA autorisé, et ainsi de participer à un web plus sécuritaire !

On se retrouve la semaine prochaine pour un nouvel article !