Certification Authority Authorization (CAA) е DNS запис, чрез който може да се укаже един или повече сертифициращи органи (CA — certificate authorities), на които е позволено да издадат сертификат за дадения домейн.
Ако няма зададен CAA запис за даден домейн, всеки сертифициращ орган ще може да издаде SSL сертификат за домейна. Ако за домейна има зададен валиден CAA запис, то ще е възможно да бъде издаден сертификат само от сертифициращите органи, които са посочени в записа.
DNS CAA записът се състои от флаг и двойката таг=“стойност„:
goodexample.eu. IN CAA 0 issue „comodoca.com“
0 – флаг: може да бъде 0 или 128; 128 означава, че издателят няма право да издаде сертификат, ако не разбира тага;
issue – таг: може да е:
issue – означава разрешаване на издаването на сертификат;
issuewild – издаването на wildcard сертификат е разрешено;
iodef – метод, по който издателите може да сигнализират при нередност, например ако е изискано издаване на сертификат, което не е оторизирано от CAA записа; може да се посочи имейл адрес или уеб адрес например iodef „mailto:security@example.com“ или iodef „http://iodef.goodexample.eu/„;
„comodoca.com“ – стойност: стойността е домейнът на сертифициращия орган, например: comodoca.com, digicert.com, letsencrypt.org;
Един домейн може да има няколко CAA записа в DNS зоната например:
goodexample.eu. IN CAA 0 issue „comodoca.com“
sub.goodexample.eu. IN CAA 0 issue „digicert.com“
goodexample.eu. IN CAA 0 iodef „mailto:reportca@goodexample.eu“
Когато стойността е празна или не съдържа домейн, това означава, че издаването на сертификат е забранено за всички издатели например:
goodexample.eu. IN CAA 0 issue „;“
Добавяне на CAA запис през cPanel
Ако домейнът използва DNS хостинг CAA запис може да се създаде през клиентския профил.
За да добавите CAA запис, влезте в cPanel » Редактор на DNS зони.
Проверка на CAA запис
Проверка за наличие на CAA запис за домейна може да се извърши през уеб инструмент като: https://caatest.co.uk.
Или чрез dig:
dig goodexample.eu caa