Wat is een CAA DNS Record?
Een Certificate Authority Authorization record, oftewel een CAA DNS record, is ontworpen om domein eigenaren de mogelijkheid te bieden om aan te geven welk CA root certificaat gebruikt mag worden om certificaten mee te ondertekenen voor het domein in kwestie. Omdat dit certificaat toebehoort aan een bepaalde certificaat autoriteit, kan hiermee effectief aangegeven worden welke certificaten uitgegeven mogen worden voor een domein. Dit voorkomt dat het uitgeven van een certificaat door een andere CA dat de gekozen CA gedaan kan worden.
Hoe stel ik CAA in?
CAA is een uniek DNS record type, waarvoor ondersteuning vanuit de DNS-beheerder vereist is. In veel gevallen zijn dit de registrar (de partij waar je domein is geregistreerd) of de hostingpartij waar je website is ondergebracht. Helaas zetten vele partijen nog verouderde DNS-software in zonder ondersteuning voor CAA, maar er is een duidelijke stijgende lijn te zien in de ondersteuning van hostingpartijen voor CAA en daarmee het gebruik van CAA records.
De opbouw van een CAA record is als volgt:
flag tag ca
- De 'flag' kan enkel de waarde 0 of 128 zijn. In vrijwel alle gevallen is ‘0’ echter correct. We adviseren je dit dan ook aan te houden.
- De 'tag' geeft aan wat voor type CAA record het betreft. Mogelijke waarden zijn issue, issuewild of iodef. Hierbij heb je de volgende mogelijkheden;
- 'issue' geeft aan dat er enkel een ‘normaal’ SSL-certificaat uitgegeven mag worden door de betreffende CA.
- 'issuewild' geeft aan dat er een wildcard certificaat uitgegeven mag worden door de CA.
- 'iodef' wordt gebruikt voor meldingen van mislukte certificaatuitgifte naar het vermelde e-mail adres.
- De ‘ca’ geeft aan welke certificaatautoriteit(en) toestemming hebben certificaten uit te geven.
- Het is ook mogelijk om voor een domeinnaam een extra policy in te stellen. Hierin kun je bijvoorbeeld aangeven dat er voor een bepaalde domeinnaam alleen maar EV SSL certificaten uitgegeven mogen worden.
In de praktijk houdt dat voor onze DNS in dat je het volgende moet invullen:
- TYPE: CAA
- Naam: [domeinnaam] (niets aan veranderen)
- Inhoud: issue "de naam van de CA"
- TTL: 3600
- Prio: 0
Mocht u twee (of meer) certificaat autoriteiten willen opgeven, dan maakt u voor iedere CA een nieuw record aan.