Wat is een DNS CAA record

Wat is een CAA record?

Het CAA record staat voor Certification Authority Authorization , dit record zorgt ervoor dat er op uw domein alleen certificaten uitgegeven kan worden door bedrijven die u hiervoor gekozen heeft.

Waarom een CAA record?

Het is mogelijk dat uw domein misbruikt wordt voor een "man in the middle" constructie waarbij zelfs de internet bezoekers misleid wordt met een vals certificaat om de foute website secure te laten lijken.

Waaruit bestaat het CAA record

Een CAA record bestaat uit de volgende 6 velden, we zullen deze hieronder beschrijven.

RICT ONLINE CAA record

CAA record veld 1
Dit is het domein veld
@ voor het hoofddomein
of door de volgende notatie domein.nl.
CAA record veld 2
Dit is het TTL veld (Time To Live)
Hier geeft u aan hoelang het veld geldig is voordat er een nieuwe opgehaald moet worden.
CAA record veld 3
Hier geeft u het record type aan, CAA in dit geval.
CAA record veld 4
Dit veld is het FLAGS veld met de volgende mogelijkheden.
Waarde : 0 de standaard waarde/dd>
Waarde : 1 deze waarde wordt alleen gebruikt indien er een eigen tag wordt gebruikt.
Waarde : 2 - 255 tot op heden nog niet in gebruik.
CAA record veld 5
Dit veld is het TAGS veld met de volgende mogelijkheden :
Waarde : issue
Met deze TAG machtigt u 1 enkele host die de certificaat aanbieder mag verstrekken.
Waarde : issuewild
Met deze TAG machtigt u alle hosts onder het hoofddomein die de certificaat aanbieder mag verstrekken.
Waarde : iodef
Optioneel, met deze tag kan een contact adres opgegeven worden in geval van problemen.
Waarde : zowel bij issue en issuewild geeft u "," dan mag geen enkele certificaat aanbieder een certificaat uitgeven.
CAA record veld 6
Hier geeft u de uiteindelijke gegevens op, dit kan zijn :
Waarde : mailto: met een e-mail adres voor als er contact gezocht moet worden ( in combinatie met tag iodef ) .
Waarde : onderstaande certificaat aanbieders ( moet EXACT overgenomen worden ).

 

Hoe stel ik een CAA record in?

Stap 1) U gaat naar uw hosting panel https://www.uwdomein.nl:2083
Stap 2) Nadat u bent ingelogd gaat u naar "domeinen" en kiest u voor "zone editor"
Stap 3) Hier klikt u op de optie "beheren"
Stap 4) Hier kiest u voor de optie "record toevoegen" en kiest u voor het record type CAA

RICT ONLINE CAA record instellen

Stap 5) Hier kunt u de velden invullen met de gewenste velden, hieronder staat een overzicht van certificaat aanbieders die u kunt gebruiken.

controleeren van een CAA record

handige tools : https://sslmate.com/caa/ specs : https://tools.ietf.org/html/rfc6844

 

 

Overzicht certificaat aanbieders

AC Camerfirma, S.A.
camerfirma.com
ACCV Spain
accv.es
Actalis
actalis.it
AlphaSSL
globalsign.com
Amazon Trust Services
amazon.com
Atos
atos.net
Buypass
buypass.com
CATCert
aoc.cat
Certigna
certigna.fr
Certinomis
www.certinomis.com
Certizen
ecert.gov.hk
certSIGN
certsign.ro
Certum
certum.pl
CFCA
cfca.com.cn
Chunghwa Telecom
pki.hinet.net
ComSign
comsign.co.il
Cybertrust Japan
cybertrust.ne.jp
DFN-PKI
pki.dfn.de
Digicert
digicert.com
Disig, a.s.
disig.sk
DocuSign
docusign.fr
D-TRUST
dtrust.de
EDICOM
edicomgroup.com
emSign
emsign.com
Entrust
entrust.net
E-Tugra
e-tugra.com
Firmaprofesional
firmaprofesional.com
FNMT
fnmt.es
GeoTrust
geotrust.com
GDCA
gdca.com.cn
GlobalSign
globalsign.com
GoDaddy
godaddy.com
Google Trust Services LLC
pki.goog
GRCA
gca.nat.gov.tw
HARICA
harica.gr
IdenTrust Services
identrust.com
Izenpe
izenpe.com
Kamu SM
kamusm.gov.tr
KPN Telecom
kpn.com
Krajowa Izba Rozliczeniowa
elektronicznypodpis.pl
Let's encrypt
letsencrypt.org
Microsec Ltd.
e-szigno.hu
NetLock Ltd.
netlock.hu
PKIoverheid
www.pkioverheid.nl
QuoVadis
quovadisglobal.com
rapidssl.com
rapidssl.com
SECOM
secomtrust.net
SecureTrust
trustwave.com
Sectigo
sectigo.com
Shanghai Electronic
sheca.com
SK ID Solutions AS
sk.ee
SSL.com
ssl.com
SwissSign AG
swisssign.com
Symantec
symantec.com
Taiwan-CA Inc.
twca.com.tw
Telia Company
telia.com
Thawte
thawte.com
TrustCor Systems
trustcor.ca
TrustProviderBV
trustproviderbv.digitalcertvalidation.com
T-Systems
telesec.de
Vecozo
nog geen gegevens ontvangen van Vecozo
Web.com
web.com
WISeKey
wisekey.com