CAA DNS Records

Wat is een CAA DNS Record?

Een Certificate Authority Authorization record, oftewel een CAA DNS record, is ontworpen om domein eigenaren de mogelijkheid te bieden om aan te geven welk CA rootcertificaat gebruikt mag worden om certificaten mee te ondertekenen voor het domein in kwestie. Omdat dit certificaat toebehoort aan een bepaalde certificaat autoriteit, kun je hiermee effectief aangeven welke certificaten uitgegeven mogen worden voor een domein. Dit voorkomt het uitgeven van een certificaat door een andere CA dan de gekozen CA.

Voorbeeld:
Door onderstaand record aan te maken voor sslcertificaten.nl geven we aan dat certificaten voor dit domein alleen uitgegeven mogen worden door Comodo:

CAA 0 issue "comodo.com"

Wat zijn de voordelen?

Een CAA DNS record biedt de mogelijkheid om meer controle te krijgen over het uitgeven van certificaten voor een domein. Een domein eigenaar kan dit zelf regelen zonder dat hier medewerking vanuit de CA voor nodig is. De CAA standaard biedt verder de mogelijkheid aan CA's om contact met op te laten nemen en melding te maken van foutief aangevraagde certificaten. Hierdoor krijgt je zelf meer inzicht in eventuele foutieve of zelfs fraudelente aanvragen voor het domein. Ondanks deze beperkingen zit je echter niet vast aan een CA. Met het record kunnen er alsnog certificaten aan worden gevraagd bij andere CA's.

Wat zijn de nadelen?

  • Het controleren van en waar nodig acteren op een CAA record is geheel vrijblijvend. Een CA is dus niet verplicht om een CAA record te controleren, ook is deze niet verplicht te handelen naar het record als deze wel gecontroleerd is en gevonden wordt.
  • Omdat DNS van zichzelf geen sterk beveiligd systeem is en potentieel omzeild kan worden, biedt een CAA record maar een beperkte beveiliging. DNSSec wordt gebruikt om DNS beter te beveiligen, maar de inzet daarvan is momenteel nog niet wijdverspreid.
  • Er treedt mogelijk vertraging op bij het aanvragen van een certificaat. Als een CA het record controleert en ziet dat zij niet voorkomen in de aanwezige CAA records dan kunnen zij de aanvraag afwijzen of vragen de records aan te passen.

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.