CAA-records (Certification Authority Authorization records) zijn DNS-records waarmee een Certificate Authority (een partij die SSL-certificaten uitgeeft) kan controleren of het toestemming heeft om voor jouw domein een certificaat uit te geven. Daarnaast kunnen browsers controleren of het certificaat dat jouw domein meegeeft ook echt voor jouw domein mag werken. Dit zorgt ervoor dat misbruik door sites met HTTPS minder makkelijk mogelijk is. 


Het CAA-record

Een DNS-record met type CAA bestaat uit drie zaken

  • Een flag die aangeeft of het record streng moet worden toegepast of niet. 0 is niet streng, 1 is streng.
  • Een property tag die aangeeft wat de rol van dit record is
  • De daadwerkelijke inhoud van het CAA-record

Er zijn drie property tags

  • issue - geeft aan of een CA een certificaat mag uitgeven
  • issuewild - geeft aan of een CA een certificaat mag uitgeven dat werkt als wildcard.
  • iodef - wie er gemaild moet worden als er een overtreding van het CAA-record plaatsvindt. 


Het CAA-gedeelte van zone kan dus meerdere records bevatten. Hieronder een voorbeeld. 


example.com. CAA 0 issue "comodoca.com"
example.com. CAA 0 issuewild ";"
example.com. CAA 0 iodef "abuse@example.com"


In bovenstaand voorbeeld mag CA Comodo certificaten uitgeven. Er is geen CA als wildcard ingegeven en bij overtredingen wordt abuse@example.com gemaild. 


Bij Savvii

Een CAA-record stel je niet in bij Savvii. Je stelt dit in bij de partij die jouw DNS beheert. Er hoeft geen los CAA-record voor subdomeinen te worden gemaakt.


De inhoud van jouw CAA-record is dus afhankelijk van de leveranciers van je certificaten. Neem je een betaald certificaat bij Savvii af (DV, WC of EV) dan worden deze uitgegeven door Comodo en moet je bij issue "comodoca.com" instellen. Bij Savvii worden ook automatisch certificaten van Let's Encrypt gemaakt. Hiervoor gebruik je issue "letsencrypt.org". Indien nodig kunnen daarnaast nog je eigen leveranciers voor certificaten worden toegevoegd. Heb je geen eigen leveranciers? Dan is het volgende voorbeeld een veilige set om te noteren. Let er op dat je de issuewild alleen gebruikt als je ook echt zulke certificaten gaat bestellen! 


savviivoorbeeld.nl. CAA 0 issue "comodoca.com"
savviivoorbeeld.nl. CAA 0 issue "letsencrypt.org"
savviivoorbeeld.nl. CAA 0 issuewild ";"
savviivoorbeeld.nl. CAA 0 iodef "jouw@e-mailadres.nl"