Vanaf 8 september 2017 is het voor certificaat uitgevers(CA’s) verplicht om een check te doen op het zogeheten CAA (Certificate Authority Authorization) DNS-record bij een uitgifte van een certificaat. Voor een domeineigenaar, en ook voor ons, is het niet verplicht om een record op te nemen in de DNS. Het is dan wel niet verplicht, maar om extra veiligheid te bieden aan onze klanten passen wij dit nieuwe beleid ook actief toe.

Wat is een CAA record

Een CAA record is in feite niets anders dan een DNS record type. In dit record type wordt vastgelegd welke certificaten door welke partij uitgegeven mogen worden voor het betreffende domein.

Stelt u voor dat iemand (bijvoorbeeld een overheidsdienst) een SSL certificaat weet te bemachtigen voor jouw domein en zo bepaalde zaken probeert te onderscheppen. Met een CAA record wordt een uitgevende CA altijd eerst gecontroleerd of het gebruikte certificaat wel uitgegeven, mag worden volgens het CAA record.

Het CAA record van LinQhost 

Zo ziet het CAA record er voor www.linqhost.nl uit:

[local@localhost ~]$ dig +noall +answer linqhost.nl CAA linqhost.nl. 10663 IN CAA 0 iodef “mailto:sslmaster@linqhost.net” linqhost.nl. 10663 IN CAA 0 issue “comodoca.com”

In dit record geven wij aan dat SSL certificaten uitsluitend voor linqhost.nl uitsluitend door Comodo geleverd mogen worden. Indien u een oude versie van dig gebruikt u een A record terug krijgen met bovenstaand commando.

Wanneer gaat het CAA record in?

Vanaf 8 september 2017 voegen wij bij nieuwe SSL certificaat uitgiftes een CAA record toe. Bestaande SSL certificaten krijgen bij een verlenging eventueel een CAA record. Voorwaarde is wel dat het domein bij ons in de DNS staat en dat het SSL certificaat bij ons wordt afgenomen.

[Update 07-09-2017]

Ook alle huidige bestaande domeinen met SSL certificaten bevatten nu CAA records.