Het doel van een Certificate Authority Authorization record (CAA-record) is om domeinhouders vast te laten stellen welke certificaatautoriteiten een certificaat voor een domein mogen uitgeven. Daarnaast bieden ze een middel om meldingsregels aan te geven voor het geval iemand een certificaat aanvraagt van een niet-geautoriseerde certificeringsinstantie. Als er geen CAA-record aanwezig is, dan mag elke Certificate Authority (CA) een certificaat voor het domein afgeven. Als er wel een CAA-record aanwezig is, dan mogen alleen de CA's die in de records zijn vermeld certificaten uitgeven voor die hostnaam.

CAA-records kunnen beleid voor het hele domein of voor een specifieke hostnamen instellen. CAA-records worden ook overgenomen door subdomeinen. Daarom is een CAA-record die is ingesteld op "voorbeeld.nl" ook van toepassing op elk subdomein, zoals "mail.voorbeeld.nl" (tenzij dit wordt overschreven). 

Hoe is een CAA record opgebouwd?

Een CAA record is opgebouwd uit de volgende elementen: 'flag' 'tag' 'ca'. En moeten ook in deze volgorde in een CAA record worden geplaatst.

  • De 'flag' is een waarde tussen de 0 en 255. In vrijwel alle gevallen is het aan te raden om ‘0’ in te voeren.
  • De 'tag' geeft aan wat voor type CAA record het betreft. Er worden momenteel 3 tags ondersteund door de CAA record, namelijk: issue, issuewild en iodef:
    • 'issue' geeft aan welke CA toestemming heeft om een certificaat voor het domein uit te geven.
    • 'issuewild' geeft aan dat er een wildcard certificaat uitgegeven mag worden door de CA.
    • 'iodef' wordt gebruikt voor meldingen van mislukte certificaatuitgifte naar het vermelde e-mail adres.
  • De ‘ca’ geeft aan welke certificaatautoriteit(en) toestemming hebben certificaten uit te geven.

Hoe stel ik een CAA-record in?

Bij het aanmaken van een CAA-record zijn er vaak meerdere waarden mogelijk. Daarom zul je vaak ook meerdere CAA records moeten aanmaken. Om een CAA-record te geneneren kun je gebruik maken van deze online hulptool. Deze tool kun je gebruiken om de CAA records in de CustomerLounge te plaatsen. Hieronder vind je een aantal voorbeelden hoe je de verschillende tags dient te gebruiken in de record.

Voorbeeld van een CAA record met een issue tag

In het onderstaande voorbeeld krijgt Comodo toestemming om certificaten voor het hoofddomein uit te geven.

Voorbeeld van een CAA record met een issuewild tag

In dit voorbeeld krijgt Comodo toestemming om Wildcard certificaten uit te geven voor het hoofddomein.

Voorbeeld van een CAA record met een iodef tag

Hieronder zie je een voorbeeld van een CAA record die de iodef tag gebruikt. In dit voorbeeld zal er een melding worden gestuurd naar 'voorbeeld@voorbeeld.nl' wanneer er een certificaat wordt aangevraagd bij een CA die niet is vermeld in de CAA record.