Een CAA-record (Certification Authority Authorization) legt vast welke certificaatautoriteiten (CA’s) een SSL/TLS-certificaat voor uw domein mogen uitgeven. Hiermee voorkomt u dat een onbevoegde partij via een verkeerde CA een geldig certificaat voor uw domein aanvraagt. In dit artikel leest u hoe een CAA-record werkt en hoe u het instelt.
Probleem
U wilt voorkomen dat ongeautoriseerde certificaatautoriteiten certificaten voor uw domein uitgeven, maar standaard kan elke publieke CA dat doen. Zonder CAA-record heeft u geen controle over welke partij certificaten mag aanmaken.
Oorzaak
Zonder CAA-record gaat het CA/Browser-systeem ervan uit dat elke gecontroleerde CA een certificaat voor uw domein mag uitgeven, zolang de domeinvalidatie slaagt. Dit is functioneel, maar geeft u geen extra controlelaag.
Een ontbrekende CAA-record is geen storing, maar een gemiste beveiligingsmaatregel. Het wordt relevant zodra u wilt afdwingen dat alleen specifieke CA’s, zoals Let’s Encrypt of uw eigen leverancier, certificaten mogen uitgeven.
Soms ontstaat juist een probleem doordat een te strikte CAA-record een legitieme CA blokkeert, waardoor certificaatvernieuwing mislukt.
Oplossing
Bepaal welke CA’s u toestaat. Gebruikt u bijvoorbeeld Let’s Encrypt, dan staat u letsencrypt.org toe. Combineer dit eventueel met andere CA’s die u gebruikt.
Voeg een CAA-record toe op het hoofddomein met de juiste tag (issue voor gewone certificaten, issuewild voor wildcardcertificaten).
Controleer dat alle CA’s die u in de praktijk gebruikt, zijn opgenomen, anders mislukt de uitgifte of vernieuwing van certificaten.
Stappenplan
- Inventariseer welke CA’s certificaten voor uw domein uitgeven.
- Open het DNS-beheer van uw domein.
- Voeg een record van het type CAA toe.
- Gebruik de tag issue met de naam van de toegestane CA.
- Voeg eventueel issuewild toe voor wildcardcertificaten.
- Voeg desgewenst een iodef-record toe voor meldingen van schendingen.
- Sla op en wacht op propagatie.
- Controleer met een CAA-checker of de records correct worden teruggegeven.
Voorbeeld CAA-records
Een CAA-record bestaat uit een flag, een tag en een waarde. Onderstaand voorbeeld staat Let’s Encrypt toe en stuurt schendingsmeldingen naar een mailadres.
Voorbeeld:
0 issue "letsencrypt.org" 0 issuewild "letsencrypt.org" 0 iodef "mailto:security@uwdomein.nl"
Tags binnen een CAA-record
Een CAA-record kent drie veelgebruikte tags. De tag issue bepaalt welke CA gewone certificaten mag uitgeven, issuewild geldt specifiek voor wildcardcertificaten, en iodef geeft een adres op waar meldingen van overtredingen heen gaan.
Certificaatautoriteiten zijn sinds 2017 verplicht om CAA-records te controleren voordat ze een certificaat uitgeven. Een correct ingestelde CAA-record is daardoor een effectieve aanvullende beveiliging tegen ongeautoriseerde uitgifte.
- issue: toegestane CA voor reguliere certificaten
- issuewild: toegestane CA voor wildcardcertificaten
- iodef: contactadres voor schendingsmeldingen
Veelgemaakte fouten
- Een CA in de CAA-record vergeten die u in de praktijk gebruikt, waardoor vernieuwing mislukt.
- issuewild vergeten terwijl u wel wildcardcertificaten gebruikt.
- De CAA-record op een subdomein plaatsen terwijl die op het hoofddomein hoort.
- Een typefout in de CA-naam, waardoor geen enkele CA meer mag uitgeven.
- Aannemen dat CAA bestaande certificaten intrekt; het geldt alleen voor nieuwe uitgifte.
- Geen iodef instellen en daardoor schendingsmeldingen mislopen.
Controle na afloop
- Gebruik een CAA-checker om de records te verifiëren.
- Vraag een testcertificaat aan en controleer of uitgifte slaagt.
- Controleer dat zowel issue als issuewild correct staan.
- Bevestig dat het iodef-adres geldig is.
Praktische tips
- Houd de CAA-record actueel zodra u van certificaatleverancier wisselt.
- Voeg alle CA’s toe die u daadwerkelijk gebruikt om uitgiftefouten te voorkomen.
- Stel een iodef-adres in zodat u meldingen ontvangt bij verdachte aanvragen.
- Test certificaatvernieuwing na het instellen van een nieuwe CAA-record.
Veelgestelde vragen
Is een CAA-record verplicht?
Nee. Zonder CAA-record mag elke publieke CA certificaten uitgeven. Het toevoegen is een aanbevolen beveiligingsmaatregel, geen verplichting.
Werkt CAA op subdomeinen?
CAA-records worden geërfd door subdomeinen, tenzij een subdomein een eigen CAA-record heeft. Plaats de record doorgaans op het hoofddomein.
Trekt een CAA-record bestaande certificaten in?
Nee. CAA geldt alleen voor nieuwe uitgifte en vernieuwing. Bestaande certificaten blijven geldig tot ze verlopen.
Samenvatting
Een CAA-record bepaalt welke certificaatautoriteiten certificaten voor uw domein mogen uitgeven en biedt zo bescherming tegen ongeautoriseerde uitgifte. Neem alle CA’s op die u gebruikt, voeg issuewild toe voor wildcardcertificaten en stel een iodef-adres in voor meldingen. Test daarna of certificaatuitgifte nog correct werkt.
Gerelateerde artikelen
- A-record instellen: een domein naar een IP-adres wijzen
- TXT-record toevoegen: verificatie en e-mailinstellingen
- DNS-propagatie controleren: waarom wijzigingen tijd kosten
Komt u er niet uit? Plan een gratis strategiegesprek via https://www.bdmnl.nl/plan.
Was dit artikel nuttig?
Dat is fantastisch!
Hartelijk dank voor uw beoordeling
Sorry dat we u niet konden helpen
Hartelijk dank voor uw beoordeling
Feedback verzonden
We stellen uw moeite op prijs en zullen proberen het artikel te verbeteren