Bonjour,
J’héberge mon YunoHost chez moi avec domaineperso.tld et domaineasso.tld.
J’ai souscrit pour héberger le site vitrine de l’asso au produit Simple Hosting avec Wordpress chez Gandi. Lorsque je souhaite générer un certificat la procédure bloque puisque j’ai cet enregistrement là dans mon DNS qui ne permets rien d’autres que du Let’s Encrypt.
Vous avez défini un enregistrement DNS de type CAA qui n’autorise la génération de certificat SSL uniquement pour Let’s Encrypt :
Ma question est donc est ce que je peux supprimer la ligne sans problème ? Ou je peux télécharger le certificat de la racine domaineasso.tld pour le mettre sur l’installation Simple Hosting qui est sur site.domaineasso.tld ?
Ou comment géreriez vous ce cas de figure ?
Merci pour votre retour.
Guillaume
Merci beaucoup.
Ce que je comprends en lisant la doc, c’est que du coup j’indique que ce n’est plus let’sencrypt qui gère la certification si je retire cet enregistrement c’est ça ?
Quel est l’impact d’enlever cette ligne la dans la proposition de configuration DNS que fait YunoHost ?
Correct. Cependant, tu peux ajouter de multiples enregistrements CAA. Essaie donc de garder celui de Let’s Encrypt et d’en ajouter un pour Gandhi. Si ça ne marche toujours pas, alors enlève-le.
Aucun. Tu risques d’avoir un avertissement dans le diagnostique, c’est tout.
Oui et non … Ce à quoi sert l’enregistrement CAA, c’est d’empêcher toutes les autres autorités de certif de générer un certif pour ce domaine
Donc ce contre quoi ça protège, à mon sens, c’est si une autorité de certif devient malveillante et chercherais à générer un certif contre ton gré pour ton domaine, *MAIS qu’elle respecte quand même les enregistrements CAA (donc malveillante, mais gentille quand même ?!?!), alors elle ne le fera pas
En pratique cet enregistrement pose plus de problème que la vague sécurité que ça apporte, je trouve : certains registrars ne veulent pas du ‘128’ dans l’enregistrement (ou alors ne supportent par le CAA du tout car encore relativement nouveau), et se retrouve à passer du temps à expliquer à tout le monde que non, c’est pas grave si il mette pas cet enregistrement (car tout le monde croit que c’est nécessaire pour obtenir un certif Lets Encrypt alors que non, au contraire)
Merci beaucoup pour l’explication et le détail. Oui ce serait bizarre pour une personne malveillante de signé un certificat d’un nom de domaine tiers, aucun intérêt pour lui du coup.
