Co je to CAA záznam?

Jedná se o typ DNS záznamu, který nám sděluje, jaká certifikační autorita má povoleno vystavit SSL certifikát na určené doméně. Tím, že CAA záznam definuje vydavatele certifikátu, je zabráněno jeho vydání neoprávněným subjektem, a zvyšuje tak důvěryhodnost celého https spojení se serverem.

Od 8. září 2017 je navíc povinností všech veřejných certifikačních autorit tento záznam kontrolovat, pokud se nachází v DNS záznamu u dané domény. Zároveň musí certifikační autorita vystavení certifikátu odmítnout, pokud záznam v DNS zóně existuje, avšak neobsahuje certifikační autoritu vydávajícího certifikátu.

V případě CAA záznamu se tedy nejedná o TLS záznam, který slouží pro kontrolu již vystavených certifikátů. CAA záznam slouží ke kontrole ještě před vystavením daného certifikátu.

Ukázka formátu CAA záznamu v DNS

testwebu.com IN CAA 0 issue "geotrust.com" / certifikát může vystavit autorita geotrust.com
testwebu.com IN CAA 0 issue "thawte.com" / certifikát může vystavit autorita thawte.com

Nastavení CAA na DNS serverech ZONERu

Pokud si budete přát nastavit CAA záznam u své domény, která využívá naše DNS servery, neváhejte nás kontaktovat formou autorizovaného požadavku.