Sectigo checkt CAA records in DNS bij het uitgeven van server certificaten. Deze CAA records geven aan welke CA's een certificaat uit mogen geven voor het betreffende domein. Als deze verkeerd zijn ingesteld zal Sectigo geen certificaat mogen uitgeven en blijft de aanvraag hangen. Om te bepalen welke CAA records voor een bepaald domein zijn ingesteld, kan gebruik gemaakt worden van een DNS lookup tools als dig, nslookup, of host, bijvoorbeeld:

$ dig surfcertificaten.nl caa +short
0 issue "sectigo.com"
0 iodef "mailto:so@surf.nl"

Je kunt ook een online tool gebruiken.

Er zijn drie tags op toe te passen:

• 'issue' voor het aangeven van de partij die certificaten mag uitgeven
• 'issuewild' voor het aangeven van de partij die wildcard certificaten mag uitgeven
• 'iodef' voor het e-mailadres waar naar gemaild moet worden als er een certificaat wordt aangevraagd die niet is toegestaan in het CAA record.

Instructies voor CAA records zijn te vinden in de Sectigo Knowledgebase onder CAA Record - Certification Authority Authorization. Om een CAA record aan te maken kun je de Sectigo CAA-record generator gebruiken. Zones die worden gehost via www.surfdomeinen.nl kunnen van CAA records worden voorzien door gedelegeerden met de rol DNS-Beheerder. Zie daarvoor ook de handleiding van SURFdomeinen.