Záznam CAA (Certification Authority Authorization) – autorizácia certifikačnej autority, sa používa na určenie certifikačnej autority (CA), ktorá môže vydávať SSL certifikáty pre konkrétnu doménu. Záznamy CAA môžu nastaviť pravidlá pre celú doménu alebo pre konkrétne subdomény.
Účelom záznamu CAA je umožniť majiteľom domén deklarovať, ktoré certifikačné autority môžu vydávať certifikát pre doménu. Certifikačná autorita (CA) je subjekt, ktorý má právo vydávať digitálne SSL certifikáty.
Poskytujú tiež možnosť upozornenie v prípade, že niekto požiada o certifikát od neautorizovanej certifikačnej autority. Ak nie je vytvorený žiadny DNS CAA záznam, akákoľvek certifikačná autorita môže vydať SSL certifikát pre danú doménu. Ak je CAA záznam vytvorený, certifikát môže vydať iba certifikačná autorita uvedená v tomto DNS zázname.
Formát CAA záznamu
CAA záznam sa skladá z nasledujúcich častí:
- Pre adresu – ak ho ponecháte predvolený, vzťahuje sa na hlavnú doménu a na akúkoľvek subdoménu. Ak v poli Pre adresu zadáte akýkoľvek názov subdomény, záznam sa bude vzťahovať iba na ňu
- Identifikátor CA – Identifikátor certifikačnej autority, ktorá bude oprávnená vystavovať certifikáty pre vašu doménu. Môže mať tvar názvu certifikačnej autority (pri issue napr. letsencrypt.org) alebo vo forme e-mail alebo www adresy (pri iodef pre nahlásenie narušovania pravidiel)
- Kritický pre vydávateľa – nazývaný aj flag. Tento parameter definuje, ako je záznam kritický. Číslo si vždy určuje certifikačná autorita
- Tag – definuje vlastnosti CAA záznamu. Poznáme tag issue (všetky typy SSL od certifikačnej autority), issuewild (pre Wildcart certifikáty) a iodef (e-mail alebo www adresa, pre nahlásenie narušovania pravidiel)
- TTL – parameter TTL určuje na ako dlho si môžu servery poskytovateľov internetu zapamätať dané nastavenie DNS. Čas je uvedený v sekundách
Po vypísaní potrebných záznamov kliknite na Vytvoriť.
Príklad 1 – certifikačná autorita Let’s Encrypt
Ak ponecháme pole Pre adresu prázne, ako Identifikátor CA zvolíme letsencrypt.org, zaklikneme možnosť „Kritický pre vydavateľa“, tag ponecháme na issue a ako TTL ponecháme 600, záznam bude vyzerať takto:
@ 600 IN CAA 128 issue "letsencrypt.org"
Príklad 2 – určenie mailu pre kontakt v prípade problémov
Ak ponecháme pole Pre adresu prázne, ako Identifikátor CA zvolíme mailto:notice@domena.tld, zaklikneme možnosť „Kritický pre vydavateľa“, ako tag zvolíme iodef a ako TTL ponecháme 600, záznam bude vyzerať takto:
@ 600 IN CAA 128 iodef "mailto:notice@domena.tld"