Het DNS-beheer van Openprovider ondersteunt nu ook CAA-records. Certification Authority Authorization (CAA, RFC6844) is ontworpen om het risico dat een SSL- of TLS-certificaat wordt uitgegeven zonder medeweten van de eigenaar te minimaliseren.
Hoe werkt het?
De meest eenvoudige uitleg van CAA is dat het een DNS-record is waarin de domeinbeheerder bepaalt welke CA’s (Certificate Authorities) een SSL-certificaat voor dit domein mogen uitgeven. Een CA moet dit record controleren en mag alleen een certificaat uitgeven als zij via dit record geautoriseerd zijn.
Een CAA-record heeft de volgende structuur:
flag tag ca
- ‘flag‘ kan alleen 0 of 128 zijn. Met 0 geef je aan dat dit record verplicht is, met 128 dat het optioneel is. Wij adviseren op dit moment om de waarde op 0 te zetten.
- ‘tag‘ definieert het type CAA-record en kan een van de volgende waarden bevatten:
- ‘issue‘ staat de CA alleen toe normale single-domain SSL-certificaten uit te geven.
- ‘issuewild‘ geeft aan dat de CA ook een wildcard SSL-certificaat mag uitgeven.
- ‘ca‘ geeft aan welke Certificate Authorities SSL-certificaten mogen uitgeven voor dit domein.
Een CAA-record configureren
Je kan online de handige CAA Record Generator tool vinden, die precies doet wat de naam zegt. Voer je domeinnaam in, selecteer de CA’s die je wilt autoriseren, voeg een notificatieadres toe en dat is alles. De tool geeft dan een CAA-record terug dat je in je DNS-zone kan kopiëren. De meest simpele CAA-records zien er bijvoorbeeld als volgt uit:
Comodo:
example.com. IN CAA 0 issue "comodoca.com"
Symantec:
example.com. IN CAA 0 issue "symantec.com"
RapidSSL:
example.com. IN CAA 0 issue "rapidssl.com"
Thawte:
example.com. IN CAA 0 issue "thawte.com"
GeoTrust:
example.com. IN CAA 0 issue "geotrust.com"