Wat is een CAA record?

Een Certificate Authority Authorisation Record wordt gebruikt om te bepalen welke Certificate Authorities (CA's) gerechtigd zijn om certificaten uit te geven voor een domein. Hiermee kan worden voorkomen dat er certificaten voor een domein worden uitgegeven door een andere CA. Door een CAA record in te stellen kan de eigenaar van een domein ook op de hoogte worden gesteld van illegale pogingen om een certificaat uitgegeven te krijgen op het domein. CAA records kunnen ingezet worden voor het gehele domein, of specifieke hostnamen. Ze zijn overdraagbaar naar subdomeinen, tenzij die overschreven worden door een eigen record. CAA records kunnen op zowel single-domain als wildcard domeinen worden ingezet.

CAA records kunnen ingezet worden voor het gehele domein, of specifieke hostnamen. Ze zijn overdraagbaar naar subdomeinen, tenzij die overschreven worden door een eigen record. CAA records kunnen op zowel single-domain als wildcard domeinen worden ingezet.

Een CA moet controleren op het bestaan van een CAA record

Het instellen van een CAA record door de gebruiker is niet verplicht. Echter wel aan te raden als extra beveiligingslaag. Een CA is vanaf 8 september 2017 verplicht dit record te controleren. Wanneer minimaal é&eaén CAA record ingevuld is en de CA waarvoor u een certificaat wilt aanvragen staat er niet bij, mag de CA geen certificaat voor het betreffende domein uitgeven. De controle van het bestaan van een CAA record vindt plaats tijdens het aanvragen van een SSL certificaat. Wanneer u later een CAA record aanpast of toevoegt (bijvoorbeeld een jaar later), dan zal een SSL certificaat dat vóór die datum is aangevraagd gewoon geldig blijven.

CAA record controleren?

U kunt controleren of het CAA record gevonden kan worden en welke waarde daar ingesteld zijn. Gebruik hiervoor de Networking4all Qualys SSLLABS scan.

CAA record instellen

Het instellen van een CAA record werkt volgens een vast format. Hierbij zijn drie verschillende tags te gebruiken:

  • Issue: geeft expliciet toestemming aan één CA om een certificaat uit te mogen geven voor de hostnaam.
  • Issuewild: geeft expliciet toestemming aan één CA om een wildcard certificaat uit te mogen geven voor de hostnaam.
  • Iodef: geeft een URL aan waarop een CA beleidsovertredingen kan melden.

Bij het aanmaken van een CAA record moet gekozen worden voor één van deze tags. Een voorbeeld van een CAA record is:

  • CAA 0 issue "symantec.com"
  • CAA 0 iodef "mailto:abuse@networking4all.com"
Extra CAA policy

Het is mogelijk om voor een domeinnaam een extra policy in te stellen. Hierin kunt u bijvoorbeeld aangeven dat voor deze domeinnaam of hostname alleen maar EV SSL certificaten uitgegeven mogen worden. Hieronder een voorbeeld, waarin alleen EV certificaten mogen worden uitgegeven door de CA DigiCert:

  • CAA 0 issue "digicert.com; policy=ev"
CAA records per CA

Hieronder staan de CAA record voorbeelden per CA:

  • TrustProviderBV
    • CAA 0 issue "trustproviderbv.digitalcertvalidation.com"
    • CAA 0 issuewild "trustproviderbv.digitalcertvalidation.com"
  • DigiCert
    • CAA 0 issue "digicert.com"
    • CAA 0 issuewild "digicert.com"
  • Symantec
    • CAA 0 issue "symantec.com"
    • CAA 0 issuewild "symantec.com"
  • GeoTrust
    • CAA 0 issue "geotrust.com"
    • CCAA 0 issuewild "geotrust.com"
  • Thawte
    • CAA 0 issue "thawte.com"
    • CAA 0 issuewild "thawte.com"
  • RapidSSL
    • CAA 0 issue "rapidssl.com"
    • CAA 0 issuewild "rapidssl.com"
  • GlobalSign
    • CAA 0 issue "globalsign.com"
    • CAA 0 issuewild "globalsign.com"
  • AlphaSSL
    • CAA 0 issue "globalsign.com"
    • CAA 0 issuewild "globalsign.com"