Záznam typu CAA (Certification Authority Authorization) definuje politiku vystavení SSL/TLS certifikátu na zvolené doméně. Cílem je zamezení vystavování podvržených certifikátů a tím zvýšení důvěryhodnosti https spojení se serverem.
Jednoduše určíte, která certifikační autorita může certifikát vystavit, případně kdo má být upozorněn, pokud se někdo neoprávněně pokusí certifikát vydat.
Jeden CAA záznam definuje jednoho vydavatele certifikátů. Záznamů může být na jedné doméně vyplněno více, ty se pak navzájem doplňují.
Samotný záznam pro využití SSL/TLS certifikátů není povinností. Bez použití tohoto záznamu může SSL/TLS certifikát vystavit jakákoliv certifikační autorita.
Struktura CAA záznamu:
Flags: definuje závažnost konfliktu při porušení pravidla (z pravidla se udává 0, maximální hodnota je 255)
TAG: issue pro doménu;
issuewild pro všechny subdomény
iodef určuje webovou stránku nebo emailovou adresu při porušení pravidla.
Value: textový řetězec (například URL nebo emailová schránka)
Příklad použití CAA:
Ve většině případů stačí definovat hlavní doménu (issue), případně i její subdomény (issuewild).
Může však dojít k tomu, že na subdoméně poběží e-shop, na kterém bude nutné používat bezpečnější typ certifikátu, než na ostatních doménách. V takovém případě může dojít k prolínání pravidel, která se navzájem doplňují.
Lze tedy definovat certifikační autoritu pro jednu specifickou subdoménu a zároveň jinou autoritu pro všechny ostatní subdomény.
Stejným způsobem nadefinujete jinou kontaktní emailovou adresu u subdomény, například správce e-shopu, a jinou adresu u hlavní domény.
domena.xy. 1800 IN CAA 0 issue "letsencrypt.org" - pro hlavní doménu smí být vystaven pouze Let's Encrypt domena.xy. 1800 IN CAA 0 issuewild "rapidssl.com" - pro všechny subdomény (*.domena.xy) pouze RapidSSL sub.domena.xy. 1800 IN CAA 0 issue "thawte.com" - pro tuhle subdoménu vystavuje certifikát Thawte sub.domena.xy. 1800 IN CAA 0 iodef "mailto:caa@domena.xy" - o porušení pravidla upozorní na caa@domena.xy