Section générale
Les Certificate Authorities valident DNSSEC à la mi-mars 2026
Nouvelles réglementations du CA/Browser Forum (Ballot SC-085v2 et SMC014)
|
|
|
|---|---|
|
Pertinence pour les utilisateurs de certificats |
★★☆☆☆ (2/5) |
|
Utilisateurs concernés |
Organisations possédant des domaines avec des zones signées DNSSEC (TLS: recherches CAA + DCV, S/MIME: recherches CAA) |
|
Types de certificats concernés |
Certificats TLS/SSL (DV, OV, EV) et S/MIME |
|
Effort de mise en œuvre |
★★☆☆☆ (2/5) – Aucun effort si DNSSEC est déjà correctement configuré; effort moyen |
|
Statut du CA/B Forum |
|
|
Statut SwissSign |
Go-live prévu pour mi-février 2026 |
|
Date limite pour les utilisateurs de certificat |
Si disponible: vérifiez la configuration DNSSEC d’ici le 15 mars 2026 au plus tard |
|
Liens |
SC-085v2: Require Validation of DNSSEC for CAA and DCV Lookups |
Qu’est-ce qui change concrètement ?
Pour les certificats TLS (SC-085v2)
SC-085v2 exige la validation DNSSEC, si disponible, à la fois pour les recherches CAA et pour toutes les requêtes DNS liées à la DCV depuis Primary Network Perspective.
Les TLS Baseline Requirements ont été mises à jour vers la v2.1.6.
Important: l’activation DNSSEC n’est pas obligatoire pour les utilisateurs de certificats !
Pour les certificats S/MIME (SMC014)
SMC014 reprend les mêmes exigences CAA pour S/MIME ; les exigences DCV du SC-085 s’appliquent indirectement à S/MIME via les références normatives à la section 3.2.2.4 de TLS.
Les S/MIME Baseline Requirements ont été mises à jour vers la v1.0.12.
Mesures à prendre pour les utilisateurs de certificats
Pour les organisations disposant de plus de 250 certificats publics
Impact: moyen
-
Si des CAA Records sont utilisées, mais que DNSSEC n’est pas activé: sans effet – la validation se déroule comme auparavant
-
Si CAA + DNSSEC sont déjà correctement configurés: sans effet – SwissSign étendra la validation de manière transparente
-
Si CAA + DNSSEC sont activés, mais mal configurés (p. ex. délégation non signée, clés expirées, enregistrements DS manquants): risque élevé – l’émission des certificats échouera à partir de la mise en service chez SwissSign, prévue mi-février 2026
Ce que vous devez faire maintenant
-
Inventaire: parmi vos domaines, lesquels ont des CAA Records ?
-
Vérification du statut DNSSEC: DNSSEC est-il activé pour ces domaines ?
-
Si DNSSEC est actif: tester la validation à l’aide d’outils comme DNSViz ou Verisign DNSSEC Debugger
-
Sources d’erreur typiques:
-
Enregistrements DS manquants chez le registraire après l’activation de DNSSEC
-
ZSK/KSK (Zone Signing Keys) expirées en cas de gestion DNSSEC manuelle
-
Délégations non signées vers les sous-domaines
-
Incohérences TTL entre RRSIG et Resource Records
-
Risques en cas d’inaction : à partir de mars 2026, l’émission/le renouvellement de certificats pour les domaines concernés échouera. Dans le cas des processus de renouvellement automatisés (ACME), cela peut entraîner des interruptions imprévues si les certificats ne sont pas renouvelés à temps.
Pour les petites organisations (<250 certificats publics)
Impact: faible
La plupart des PME ne seront pas concernées, seules quelques-unes utilisent DNSSEC.
Implémentation chez SwissSign
SwissSign soutient le renforcement des exigences de sécurité pour la validation CAA. Depuis plusieurs années, le protocole DNSSEC constitue un élément important de la sécurisation de l’infrastructure DNS. Ces ballots permettent d’harmoniser les normes au sein de l’industrie PKI.
Notre implémentation : la mise en œuvre technique des deux ballots (SC-085v2 et SMC014) est prévue pour mi-février 2026.
Contexte du ballot : prévention des attaques de type «man-in-the-middle»
État actuel : depuis septembre 2017, les Certificate Authorities doivent vérifier, avant chaque émission de certificat, si des enregistrements CAA (Certification Authority Authorization) sont présents dans le DNS pour le domaine concerné. Ces enregistrements permettent aux propriétaires de domaines de déterminer quelles CA sont autorisées à émettre des certificats. Il s’agit d’un niveau de contrôle important contre les émissions erronées. Cependant, la réglementation actuelle n’exige pas que les CA vérifient l’authenticité de ces réponses DNS via DNSSEC. Cela signifie qu’un pirate disposant d’un accès de type « man-in-the-middle » aux requêtes DNS pourrait manipuler ou supprimer des CAA Records.
Problème/facteur déclencheur : le DNS Cache Poisoning et le DNS Spoofing restent des vecteurs d’attaque importants. Les éditeurs de navigateurs (en particulier Mozilla et Google) exigent depuis des années que les CA mettent systématiquement en œuvre la validation DNSSEC. Les récents ballots s’inscrivent dans le cadre d’une initiative plus vaste visant à renforcer la sécurité DNS dans l’écosystème PK
Principes de base de la validation de domaine
Qu’est-ce que le protocole DNSSEC?
DNSSEC (Domain Name System Security Extensions) protège les réponses DNS contre toute manipulation grâce à des signatures cryptographiques. Chaque zone DNS signe ses enregistrements avec une clé privée ; les résolveurs peuvent vérifier l’authenticité via une chaîne de confiance jusqu’à la zone racine. DNSSEC permet de prévenir:
-
le DNS Cache Poisoning (injection de fausses données DNS)
-
les attaques de type « man-in-the-middle » sur les requêtes DNS
-
le DNS Spoofing par des résolveurs compromis
Que sont les recherches DCV?
DCV (Domain Control Validation) désigne la vérification technique permettant de déterminer si un demandeur possède effectivement le contrôle d’un domaine. Pour cela, les Certificate Authorities utilisent différentes méthodes, dont l’une repose sur les requêtes DNS. Dans le cas des recherches DCV basées sur le DNS, la CA vérifie si certains enregistrements DNS placés par le demandeur sont correctement disponibles (p. ex. _acme-challenge.example.com pour les renouvellements basés sur ACME ou un enregistrement TXT défini pour une validation manuelle). La CA s’appuie sur les réponses DNS fournies par le DNS public. Si le domaine utilise DNSSEC, ces réponses devront à l’avenir être sécurisées cryptographiquement : une erreur DNSSEC (p. ex. une signature manquante ou une chaîne de confiance invalide) entraînera le rejet de la preuve DCV par la CA. Les recherches DCV deviennent donc un point central où une mauvaise configuration DNSSEC pourra, à partir de mars 2026, bloquer immédiatement l’émission ou le renouvellement de certificats, même si aucun enregistrement CAA n’est défini.
Que sont les CAA Records ?
Les CAA Records (Certification Authority Authorization, RFC 8659) sont des entrées DNS spéciales qui permettent aux propriétaires de domaines de déterminer quelles Certificate Authorities sont autorisées à émettre des certificats pour leur domaine. Un enregistrement CAA typique se présente comme suit :
example.com. CAA 0 issue "swisssign.com"
example.com. CAA 0 issuewild "swisssign.com"
Cela signifie que seule SwissSign est autorisée à émettre des certificats pour example.com (et pour les sous-domaines via issuewild). Depuis septembre 2017, toutes les CA publiques de confiance doivent vérifier les CAA Records avant chaque émission de certificat.
Questions fréquemment posées (FAQ)
Non. Les ballots n’imposent PAS l’activation de DNSSEC, ils exigent seulement que les CA valident DNSSEC lorsqu’il est activé. Si vous n’utilisez pas DNSSEC, rien ne change pour vous. DNSSEC reste optionnel, mais si vous l’utilisez, il doit être correctement configuré.
À partir de mars 2026, SwissSign refusera d’émettre des certificats pour les domaines dont le DNSSEC est incorrect (si des CAA Records sont disponibles). L’erreur sera communiquée clairement: «DNSSEC validation failed for CAA lookup» avec les détails du problème (p. ex. «RRSIG expired» ou «missing DS record»). Vous devrez alors corriger la configuration DNSSEC avant que le certificat ne puisse être émis.
Non. Les certificats existants restent valables jusqu’à leur date d’expiration normale. La validation DNSSEC ne s’applique qu’aux nouvelles émissions et aux renouvellements. Toutefois, si votre certificat actuel expire en avril 2026 et que vous avez un CAA + DNSSEC incorrect, le renouvellement échouera.
À l’aide de ces deux outils gratuits:
-
DNSViz: outil de visualisation qui affiche graphiquement la chaîne DNSSEC. Encadrés verts = tout est OK, encadrés rouges/jaunes = problèmes.
-
Verisign DNSSEC Debugger: analyse détaillée des erreurs avec des conseils concrets pour les résoudre.
Oui, via le ballot SMC014. Les exigences techniques sont identiques à celles de TLS. Les certificats S/MIME utilisent moins fréquemment les CAA Records que TLS, l’impact pratique est donc moindre. Si vous utilisez des certificats S/MIME avec des CAA Records, les mêmes recommandations d’action que ci-dessus s’appliquent.
