Záznam typu CAA (Certification Authority Authorization) definuje politiku vystavenia SSL/TLS certifikátu na zvolenej doméne. Cieľom je zamedziť vystavovaniu falšovaných certifikátov a tým zvýšenie dôveryhodnosti https spojenej so serverom.
Jednoducho určíte, ktorá certifikačná autorita môže certifikát vystaviť, prípadne kto má byť upozornený, keď sa niekto neoprávnene pokúsi certifikát vydať.
Jeden CAA záznam definuje jedného vydavateľa certifikátov. Záznamov môže byť na jednej doméne vyplnených viac, tie sa potom navzájom dopĺňajú.
Samotný záznam pre využitie SSL/TLS certifikátov nie je povinnosťou. Bez použitia tohto záznamu môže SSL/TLS certifikát vystaviť akákoľvek certifikačná autorita.
Štruktúra CAA záznamu:
Flags: definuje závažnosť konfliktu pri porušení pravidla CAA záznamu (spravidla sa udáva 0);
TAG: issue pre doménu;
issuewild pre všetky subdomény;
iodef určuje webovú stránku alebo emailovú adresu pri porušení pravidla;
Value: textový reťazec (napríklad URL alebo emailová schránka);
Príklad použitia CAA:
Vo väčšine prípadov stačí definovať hlavnú doménu (issue), prípadne i jej subdomény (issuewild).
Môže však dôjsť k tomu, že na subdoméne pobeží e-shop, na ktorom bude nutné používať bezpečnejší typ certifikátu, ako na ostatných doménach. V takom prípade môže dôjsť k prelínaniu pravidiel, ktoré sa navzájom dopĺňajú.
Je teda možné definovať certifikačnú autoritu pre jednu špecifickú subdoménu a zároveň inú autoritu pre všetky ostatné subdomény.
Rovnakým spôsobom nadefinujete inú kontaktnú emailovú adresu u subdomény, napríklad správcu e-shopu, a inú adresu u hlavnej domény.
domena.xy. 1800 IN CAA 0 issue "letsencrypt.org" - pre hlavnú doménu smie byť vystavený len Let's Encrypt domena.xy. 1800 IN CAA 0 issuewild "rapidssl.com" - pre všetky subdomény (*.domena.xy) len RapidSSL sub.domena.xy. 1800 IN CAA 0 issue "thawte.com" - pre túto subdoménu vystavuje certifikát Thawte sub.domena.xy. 1800 IN CAA 0 iodef "mailto:caa@domena.xy" - o porušení pravidla upozorní na caa@domena.xy