Hoe voeg ik een CAA record toe voor mijn domein?

Kort antwoord

CAA records worden sinds mei 2017 direct ondersteund in SURFdomeinen. U kunt de gebruikelijk manier volgen voor het toevoegen van een record , en in het drop-down menu met recordtypes "CAA" selecteren.

Meer uitleg

Met het CAA recordtype kunt u via DNS aangeven welke certificaatautoriteiten geautoriseerd zijn om X.509 certificaten uit te geven voor uw domein. Vanaf september 2017 zijn certificaatautoriteiten verplicht om te controleren of er voor een domein een CAA record gezet is. Indien dit het geval is dan moeten ze de inhoud ervan respecteren, en geen certificaten uitgeven voor een domein als het CAA record niet aangeeft dat ze geautoriseerd zijn. Dit is een extra veiligheidscontrole die moet voorkomen dat er onterecht certificaten worden uitgegeven voor een domein. Indien voor een domein geen CAA record gezet is mag iedere certificaatautoriteit certificaten uitgeven voor een domein.

In dit FAQ artikel wordt uitgelegd wat de syntax van het CAA recordtype is, en hoe u een CAA record kunt toevoegen via SURFdomeinen.

CAA record toevoegen

CAA recordsyntax

Er zijn drie vormen voor een CAA record, die hieronder zijn opgesomd:

  1. Een CAA record dat aangeeft welke certificaatautoriteit(en) geautoriseerd is/zijn om certificaten uit te geven voor een domein. Het voorbeeldrecord hieronder laat deze vorm zien voor DigiCert, de uitgever van certificaten via SURFcertificaten:

    uniharderwijk.nl. 3600 IN CAA 0 issue "digicert.com"

     
  2. Een CAA record dat aangeeft welke certificaataurotiteit(en) geautoriseerd is/zijn om wildcard certificaten uit te geven voor een domein. Wildcard certificaten zijn bijvoorbeeld geldig voor "*.uniharderwijk.nl", ofwel alle namen onder "uniharderwijk.nl". Het voorbeeldrecord hieronder laat deze vorm zien voor DigiCert, de uitgever van certificaten via SURFcertificaten.

    uniharderwijk.nl. 3600 IN CAA 0 issuewild "digicert.com"

     
  3. Een CAA record dat aangeeft hoe contact kan worden opgenomen bij een poging om onterecht een certificaat uit te geven voor een domein. Een certificaatautoriteit kan deze informatie gebruiken om contact met u op te nemen indien iemand probeert om via hen een certificaat uit te geven voor uw domein terwijl u hen niet geautoriseerd hebt om dat te doen. De waarde die u opneemt in het CAA record is een URI, over het algemeen zal dit een "mailto:" URI zijn zoals in onderstaand voorbeeld wordt getoond:

    uniharderwijk.nl. 3600 IN CAA 0 iodef "mailto:securityofficer@uniharderwijk.nl" 

Voorbeeld: toevoegen van een CAA record voor de certificaatautoriteit van SURFcertificaten

Hier nog wat meer uitleg

Zie ook (optioneel)

Voor meer informatie over het beheer van DNS zones via SURFdomeinen verwijzen wij u naar de handleiding van SURFdomeinen.

 


Zoek in deze wiki:

Snel naar een andere vraag: