CAA record standaard bij onze SSL diensten

Vanaf 8 september 2017 is het voor certificaat uitgevers(CA’s) verplicht om een check te doen op het zogeheten CAA (Certificate Authority Authorization) DNS-record bij een uitgifte van een certificaat. Voor een domeineigenaar, en ook voor ons, is het echter niet verplicht om een record op te nemen in de DNS. Het is dan wel niet verplicht, maar om extra veiligheid te bieden aan onze klanten zullen wij dit nieuwe beleid ook actief gaan toepassen.

Wat is een CAA record

Een CAA record is in feite niets anders dan een DNS record type. In dit record type wordt vastgelegd welke certificaten door welke partij uitgegeven mogen worden voor het betreffende domein.

Stel je voor dat iemand (bijvoorbeeld een overheidsdienst) een SSL certificaat weet te bemachtigen voor jouw domein en zo bepaalde zaken probeert te onderscheppen. Met een CAA record zal een uitgevende CA altijd eerst controleren of het gebruikte certificaat wel uitgegeven mag worden volgens het CAA record.

Zo ziet het CAA record er voor www.linqhost.nl uit:

[local@localhost ~]$ dig +noall +answer linqhost.nl CAA
linqhost.nl. 10663 IN CAA 0 iodef "mailto:sslmaster@linqhost.net"
linqhost.nl. 10663 IN CAA 0 issue "comodoca.com"

In dit record geven wij aan dat SSL certificaten uitsluitend voor linqhost.nl uitsluitend door Comodo geleverd mogen worden. Indien je een oude versie van dig gebruikt zul je een A record terug krijgen met bovenstaand commando.

Wanneer gaat dit in

Vanaf 8 september 2017 zullen wij bij nieuwe SSL certificaat uitgiftes een CAA record toevoegen. Bestaande SSL certificaten zullen bij een verlenging eventueel worden toegevoegd. Voorwaarde is wel dat het domein bij ons in de DNS staat en dat het SSL certificaat bij ons wordt afgenomen.

[Update 07-09-2017]
Ook alle huidige bestaande domeinen met SSL certificaten bevatten nu CAA records.