Met een Certificate Authority Authorization-record, ofwel een CAA-record, bepaal je welke Certificate Authorities (CA) SSL-certificaten voor je domeinnaam mogen uitgeven. Ook kun je instellen dat je waarschuwingen krijgt als iemand ongeautoriseerd een SSL-certificaat aanvraagt.
Je kunt het dus zien als een extra beveiliging tegen domeinkaping. Een CA is het sinds september 2017 verplicht om CAA-records te valideren. Het is voor een domeinhouder niet vereist om aan te maken, maar dat is wel sterk aan te raden.
Standaard heb je bij ons altijd gratis SSL. Heb je een betaald SSL-certificaat en verloopt die, dan val je normaal gesproken daar vanzelf op terug. Zou je instellen dat enkel Sectigo (voorheen Comodo) certificaten voor je domein mag uitgeven, dan gebeurt dat echter niet. Zowel een CAA-record aanmaken voor Let's Encrypt als Sectigo, is daarom doorgaans aanbevolen.
CAA-record aanmaken
1. Log in op DirectAdmin van je webhostingpakket.
2. Ga in het menu naar 'Accountbeheer' → 'DNS-beheer' en klik op 'Record toevoegen'.
3. Kies bij 'Recordtype' voor 'CAA' en vul bij 'Naam' je domein in met een punt erachter.
4. Wat je in het veld achter 'Waarde' invult, is afhankelijk van de CA's die je wilt toestaan.
Als je bijvoorbeeld onze gratis Basis SSL gebruikt, dan is de waarde als volgt:
0 issue "letsencrypt.org"
Neem je bij ons een betaald SSL-certificaat af, maak dan de waarde zo aan:
0 issue "sectigo.com"
Heb je bij ons een betaald certificaat mét wildcard, gebruik dan:
0 issuewild "sectigo.com"
Heb je hierin een keuze gemaakt, dan klik je ten slotte op 'Toevoegen' om het CAA-record aan te maken.
Waarschuwingen instellen
Als je een waarschuwing per e-mail wilt ontvangen bij onrechtmatige aanvragen, dan maak je aanvullend ook het onderstaande record aan. Vervang hierbij 'info@voorbeeld.nl' met je eigen e-mailadres.
voorbeeld.nl. CAA 0 iodef "mailto:info@voorbeeld.nl"
Als je een ander e-mailadres wilt gebruiken voor de waarschuwingen, dan kun je het CAA-record verwijderen. Vervolgens maak je het dan weer aan met het nieuwe e-mailadres.