CAA record - toestemming van certificeringsautoriteit

Een CAA record type (Certification Authority Authorization) definieert het beleid van het SSL/TLS certificaat dat is aangemaakt op een geselecteerd domein. Het doel is om de namaak certificaten te stoppen en de betrouwbaarheid te verhogen van de https verbinding met de server.

U geeft gewoon aan welke certificeringsinstantie het certificaat kan afgeven, of wie op de hoogte moet worden gebracht als iemand het certificaat onterecht gebruikt. 

Een CAA record definieert een certificeringsinstantie. Op een domein kunnen meerdere records staan, die elkaar aanvullen. 

Het record zelf voor het gebruik van SSL / TLS certificaten is niet verplicht. Zonder deze vermelding te gebruiken, elk SSL / TLS certificaat mag gebruikt worden met elke certificatie autoriteit.

 

Structuur van het CAA record:

Flags: Definieert de ernst van een C & A record overtreding(de regel is 0 by default/standaard)

TAG:   issue voor domein; 
       issuewild voor alle subdomeinen 
       iodef definieert website of e-mailadres als de regel wordt overtreden.

Value: Een tekstreeks (zoals een URL of e-mailbox)


Voorbeeld van CAA:

In de meeste gevallen hoeft U enkel het hoofddomein te definiëren, soms ook de subdomeinen (issue wild).

Er kan echter een subdomein zijn die een e-shop beheert die een veiliger type certificaat nodig heeft dan andere domeinen. In dat geval kunnen er regels zijn die elkaar aanvullen 

Daarom kan een certificeringsinstantie worden gedefinieerd voor een specifiek subdomein en een andere autoriteit voor alle andere subdomeinen.

Op dezelfde manier, kunt U een ander contact mailadres instellen voor een subdomein, zoals een voor de e-shop administrator, en een ander contact mailadres voor het hoofddomein. 

domain.xy.      1800 IN CAA 0 issue "letsencrypt.org"      - voor het hoofddomein kan het alleen Let's Encrypt worden
domain.xy.      1800 IN CAA 0 issuewild "rapidssl.com"     - voor alle subdomeinen (*.domain.xy) alleen RapidSSL 
sub.domain.xy.  1800 IN CAA 0 issue "thawte.com"           - voor dit subdomein is een certificaat uitgegeven door Thawte
sub.domain.xy.  1800 IN CAA 0 iodef "mailto:caa@domain.xy" - overtreding van de regel wordt via caa@domain.xy gemeld