CAA to akronim od Certification Authority Authorization. CAA jest rekordem DNS określającym, który z wystawców (Urzędów Certyfikacji) może wystawić certyfikat SSL dla określonej domeny. Od września 2017 roku każdy z Urzędów Certyfikacji będącym członkiem CA/Browser Forum zobowiązany jest do weryfikacji rekordu DNS CAA przed wystawieniem certyfikatu SSL.
Rekord CAA jest ustandaryzowany, a pełna specyfikacja znajduje się w RFC 6844.
Aby sprawdzić rekordy CAA dla określonej domeny, użyj polecenia dig
:
dig moja-domena.pl caa
moja-domena.pl. IN CAA
Brak rekordów CAA oznacza, że każdy z Urzędów Certyfikacji jest uprawniony do wystawienia certyfikatów SSL dla domeny.
moja-domena.pl. 600 IN CAA 0 issue "digicert.com"
moja-domena.pl. 600 IN CAA 0 issuewild "digicert.com"
moja-domena.pl. 600 IN CAA 0 iodef "mailto:mail@example.com"
W powyższym przypadku w do wystawienia certyfikatu uprawniony jest jedynie DigiCert. Powyższy rekord CAA umożliwia wystawienie certyfikatów SSL tylko dla następujących wystawców: DigiCert, Thawte, GeoTrust i RapidSSL (DigiCert jest właścicielem marek Thawte, GeoTrust i RapidSSL). Pozostali wystawcy, np. comodo.com, certum.pl nie są uprawnieni do wystawienia certyfikatu SSL dla domeny.
Każdy rekord CAA składa się z flagi (wartość od 0 do 255), tagu (np. issue
) i wartości przypisanej do tagu (np. digicert.com
).
issue
informuje wystawcę (w tym przypadku digicert.com), że może wystawiać certyfikaty SSL dla pojedynczych nazw hostów w domenie moja-domena.pl. Np. www.moja-domena.pl, mail.moja-domena.pl, panel.moja-domena.pl.issuewild
informuje wystawcę (w tym przypadku digicert.com), że może wystawiać certyfikaty SSL typu Wildcard, np. *.moja-domena.pl. Ważne! Jeżeli Twój certyfikat typu Wildcard będzie również ważny dla głównej domeny (np. moja-domena.pl, musisz również dodać tag issue
analogicznie, jak dla pojedynczego certyfikatu.iodef
może zawierać adres e-mail lub URL. Tag opcjonalny. W przypadku gdy nieupoważniony wystawca (w tym przypadku każdy inny od digicert.com) otrzyma prośbę o wystawienie certyfikatu SSL, zdefiniowany wcześniej wystawca może wysłać komunikat o takim zdarzeniu pod zdefiniowany w tagu iodef
adres e-mail lub URL.System wystawcy w zautomatyzowany sposób sprawdza poprawność konfiguracji rekordów CAA. Jeżeli konfiguracja jest prawidłowa, to certyfikat SSL zostanie wystawiony do ok. godziny od momentu zaktualizowania rekordów CAA w DNS-ie.