El registro de tipo CAA (Autorización de Autoridad de Certificación) define la política de creación de certificados SSL/TLS en el dominio seleccionado. El objetivo es detener la creación de certificados falsos y aumentar la confianza de la conexión https con el servidor.
Simplemente especifique qué autoridad de certificación puede emitir el certificado o quién debe ser notificado si alguien intenta emitir el certificado injustificadamente.
Un registro CAA define una autoridad de certificación. En un dominio, puede haber más de un registro, que se complementan entre sí.
El propio registro para el uso de certificados SSL/TLS no es una obligación. Sin utilizar esta entrada, cualquier certificado SSL/TLS puede ser emitido por cualquier autoridad de certificación.
Estructura del registro CAA:
Flags: Define la gravedad de un conflicto de violación de registro C & A (la regla es 0 de forma predeterminada)
TAG: issue para el dominio;
issuewild para todos los subdominios
iodef define el sitio web o dirección de correo electrónico si la norma es violada.
Value: Una cadena de texto (como una URL o un buzón de correo electrónico)
Ejemplo de uso de CAA:
En la mayoría de los casos sólo tiene que definir el dominio principal, o también sus subdominios (issuewild).
Sin embargo, puede haber un subdominio que ejecuta una tienda on line que requiere un tipo de certificado más seguro que otros dominios. En este caso, puede mezclar reglas que se complementen entre sí.
Por lo tanto, se puede definir una autoridad de certificación para un subdominio específico y otra para todos los demás subdominios.
De la misma manera, puede definir una dirección e-mail de contacto para un subdominio, por ejemplo, un administrador de tienda electrónica, y otra dirección para el dominio principal.
domain.xy. 1800 IN CAA 0 issue "letsencrypt.org" -para el dominio principal puede ser sólo Let's Encrypt domain.xy. 1800 IN CAA 0 issuewild "rapidssl.com" -para todos los subdominios(*.domain.xy) solamente RapidSSL sub.domain.xy. 1800 IN CAA 0 issue "thawte.com" -para este subdominio el certificado emitido por Thawte sub.domain.xy. 1800 IN CAA 0 iodef "mailto:caa@domain.xy"-las violaciones de las reglas se notificarán a caa@domain.xy