Wat is dit
Een CAA-record (Certification Authority Authorization) bepaalt welke certificaatuitgevers (CAs) certificaten voor jouw domein mogen uitgeven. Iedere publieke CA is sinds 2017 verplicht om CAA te checken voordat hij ondertekent.
Waarom belangrijk
Zonder CAA kan in principe iedere publieke CA, bij een fout of gehackt account, een geldig certificaat voor jouw domein uitgeven. CAA voorkomt dat door je een whitelist te geven.
Hoe los ik dit op
TransIP: DNS > nieuw record > type CAA, naam @, flag 0, tag issue, value "letsencrypt.org". Voeg een tweede toe voor je back-up CA en eventueel een iodef-record met je security-mailadres.
CloudFlare: DNS > Records > Add CAA. Kies Only allow specific hostnames of voeg meerdere issue-records toe.
Strato of Antagonist: Open DNS-beheer en voeg CAA-records toe voor de CAs die je gebruikt (letsencrypt.org, digicert.com, etc.). Zorg dat wildcards los geregeld zijn met issuewild.
Anders: Voeg een CAA op de root toe met de tag issue en als waarde de domeinnaam van je CA. Voeg issuewild toe als je wildcards gebruikt en iodef voor incident-rapportage.
Verifieren
dig CAA jouwdomein.nl +short. Of gebruik SSL Labs of crt.sh om te zien welke CAs recent voor je domein hebben uitgegeven.