CAA staat voor Certificate Authority Authorization en is een DNS record die voor extra beveiliging van je domeinnaam zorgt. In het specifiek helpt een CAA record voor een extra validatieslag bij de uitgifte van SSL-certificaten. In een CAA record kan je namelijk aangeven welke Certificate Authority (CA) je SSL-certificaat mag ondertekenen. Zo voorkom je uitgifte die niet legitiem is.

Zo werkt het
Tot voorheen kon iedere Certificate Authority (CA) een SSL-certificaat aanvragen voor iedere domeinnaam. In sommige gevallen (gelukkig erg weinig) werden hierdoor frauduleuze SSL-certificaten uitgegeven, met alle gevolgen van dien.

Per september 2017 is iedere CA verplicht om te controleren of een aanvraag legitiem is. Bij de validatie wordt dan o.a. gecontroleerd of er een CAA record aanwezig is en of de CA het SSL-certificaat mag ondertekenen.

Een CAA record is overigens niet verplicht, maar wordt wel aanbevolen. Zonder CAA record zal deze validatieslag namelijk worden overgeslagen.

Dit type record zie je nog niet veel maar is wel groeiende. Dat komt omdat steeds meer domeinnaam eigenaren veiligheid belangrijk vinden.

Voorbeeld CAA record
IN CAA 0 issue "comodoca.com"
IN CAA 0 issue "comodo.com"