Hoe voeg ik een CAA record toe voor mijn domein?

Kort antwoord

CAA records worden sinds mei 2017 direct ondersteund in SURFdomeinen. U kunt de gebruikelijk manier volgen voor het toevoegen van een record , en in het drop-down menu met recordtypes "CAA" selecteren.

Meer uitleg

Met het CAA recordtype kunt u via DNS aangeven welke certificaatautoriteiten geautoriseerd zijn om X.509 certificaten uit te geven voor uw domein. Vanaf september 2017 zijn certificaatautoriteiten verplicht om te controleren of er voor een domein een CAA record gezet is. Indien dit het geval is dan moeten ze de inhoud ervan respecteren, en geen certificaten uitgeven voor een domein als het CAA record niet aangeeft dat ze geautoriseerd zijn. Dit is een extra veiligheidscontrole die moet voorkomen dat er onterecht certificaten worden uitgegeven voor een domein. Indien voor een domein geen CAA record gezet is mag iedere certificaatautoriteit certificaten uitgeven voor een domein.

In dit FAQ artikel wordt uitgelegd wat de syntax van het CAA recordtype is, en hoe u een CAA record kunt toevoegen via SURFdomeinen.

CAA record toevoegen

CAA recordsyntax

Er zijn drie vormen voor een CAA record, die hieronder zijn opgesomd:

1. Een CAA record dat aangeeft welke certificaatautoriteit(en) geautoriseerd is/zijn om certificaten uit te geven voor een domein. Het voorbeeldrecord hieronder laat deze vorm zien voor DigiCert, de uitgever van certificaten via SURFcertificaten:
   

   uniharderwijk.nl. 3600 IN CAA 0 issue "digicert.com"

   
    
2. Een CAA record dat aangeeft welke certificaataurotiteit(en) geautoriseerd is/zijn om wildcard certificaten uit te geven voor een domein. Wildcard certificaten zijn bijvoorbeeld geldig voor "*.uniharderwijk.nl", ofwel alle namen onder "uniharderwijk.nl". Het voorbeeldrecord hieronder laat deze vorm zien voor DigiCert, de uitgever van certificaten via SURFcertificaten.
   

   uniharderwijk.nl. 3600 IN CAA 0 issuewild "digicert.com"

   
    
3. Een CAA record dat aangeeft hoe contact kan worden opgenomen bij een poging om onterecht een certificaat uit te geven voor een domein. Een certificaatautoriteit kan deze informatie gebruiken om contact met u op te nemen indien iemand probeert om via hen een certificaat uit te geven voor uw domein terwijl u hen niet geautoriseerd hebt om dat te doen. De waarde die u opneemt in het CAA record is een URI, over het algemeen zal dit een "mailto:" URI zijn zoals in onderstaand voorbeeld wordt getoond:
   

   uniharderwijk.nl. 3600 IN CAA 0 iodef "mailto:securityofficer@uniharderwijk.nl" 

Voorbeeld: toevoegen van een CAA record voor de certificaatautoriteit van SURFcertificaten

Onderstaand voorbeeld laat in 3 stappen zien hoe u een CAA record kunt toevoegen. In het voorbeeld wordt een "issue" (type 1) CAA record toegevoegd voor "uniharderwijk.nl", wat aangeeft dat DigiCert, de uitgever van SURFcertificaten, geautoriseerd is om certificaten uit te geven voor dit domein.

Stap 1: kies voor het toevoegen van een record

In het detailscherm voor de DNS zone klikt u op "Record toevoegen" zoals te zien is in onderstaand screenshot:

Stap 2: kies het CAA recordtype

In het toevoegscherm wat u vervolgens te zien krijgt kiest u nu in het drop-down menu het "CAA" recordtype, zoals te zien is in onderstaand screenshot:

Stap 3: vul de informatie in

Tot slot vult u de informatie voor het record in. In het Hostnaamveld vult u in de regel het apestaartje ("@") in, om aan te geven dat dit record geldt voor de domeinnaam zelf. In het Waarde veld vult u vervolgens de informatie voor het CAA record in. Onderstaand voorbeeld laat zien hoe dit eruit ziet indien u een issue-type CAA record wilt toevoegen:

Zie ook (optioneel)

Voor meer informatie over het beheer van DNS zones via SURFdomeinen verwijzen wij u naar de handleiding van SURFdomeinen.

Zoek in deze wiki:

Snel naar een andere vraag: