Het DNS-beheer van Openprovider ondersteunt nu ook CAA-records. Certification Authority Authorization (CAA, RFC6844) is ontworpen om het risico dat een SSL- of TLS-certificaat wordt uitgegeven zonder medeweten van de eigenaar te minimaliseren.
Hoe werkt het?
De meest eenvoudige uitleg van CAA is dat het een DNS-record is waarin de domeinbeheerder bepaalt welke CA’s (Certificate Authorities) een SSL-certificaat voor dit domein mogen uitgeven. Een CA moet dit record controleren en mag alleen een certificaat uitgeven als zij via dit record geautoriseerd zijn.
Een CAA-record heeft de volgende structuur:
flag tag ca
Een CAA-record configureren Je kan online de handige CAA Record Generator tool vinden, die precies doet wat de naam zegt. Voer je domeinnaam in, selecteer de CA’s die je wilt autoriseren, voeg een notificatieadres toe en dat is alles. De tool geeft dan een CAA-record terug dat je in je DNS-zone kan kopiëren. De meest simpele CAA-records zien er bijvoorbeeld als volgt uit:
Comodo: example.com. IN CAA 0 issue "comodoca.com"
Symantec: example.com. IN CAA 0 issue "symantec.com"
RapidSSL: example.com. IN CAA 0 issue "rapidssl.com"
Thawte: example.com. IN CAA 0 issue "thawte.com"
GeoTrust: example.com. IN CAA 0 issue "geotrust.com"
03 Okt