Záznam CAA (Certification Authority Authorization) – autorizace certifikační autority, se používá na určení certifikační autority (CA), která může vydávat SSL certifikáty pro konkrétní doménu. Záznamy CAA mohou nastavit pravidla pro celou doménu nebo pro konkrétní subdomény.
Účelem záznamu CAA je umožnit majitelům domén deklarovat, které certifikační autority můžou vydávat certifikát pro doménu. Certifikační autorita (CA) je subjekt, který má právo vydávat digitální SSL certifikáty.
Poskytují též možnost upozornění v případě, že někdo požádá o certifikát od neautorizované certifikační autority. Pokud není vytvořený žádný DNS CAA záznam, jakákoliv certifikační autorita může vydat SSL certifikát pro danou doménu. Pokud je CAA záznam vytvořený, certifikát může vydat pouze certifikační autorita uvedená v tomto DNS záznamu.
Formát CAA záznamu
CAA záznam se skládá z následujících častí:
- Pro adresu – pokud ho ponecháte předvolený, vztahuje se na hlavní doménu a na jakoukoliv subdoménu. Pokud v poli Pro adresu zadáte jakýkoliv název subdomény, záznam se bude vztahovat pouze na ni
- Identifikátor CA – Identifikátor certifikační autority, která bude oprávněná vystavovat certifikáty pro vaši doménu. Může mít tvar názvu certifikační autority (u issue např. letsencrypt.org) nebo ve formě e-mail nebo www adresy (u iodef pro nahlášení narušování pravidel)
- Kritický pro vydavatele – nazývaný i flag. Tento parametr definuje, jak je záznam kritický. Číslo si vždy určuje certifikační autorita
- Tag – definuje vlastnosti CAA záznamu. Poznáme tag issue (všechny typy SSL od certifikační autority), issuewild (pro Wildcart certifikáty) a iodef (e-mail nebo www adresa, pro nahlášení narušování pravidel)
- TTL – parametr TTL určuje, na jak dlouho si mohou servery poskytovatelů internetu zapamatovat dané nastavení DNS. Čas je uvedený v sekundách
Po vypsání potřebných záznamů klikněte na Vytvořit.
Příklad 1 – certifikační autorita Let’s Encrypt
Když ponecháme pole Pro adresu prázdné, jako Identifikátor CA zvolíme letsencrypt.org, zaklikneme možnost „Kritický pro vydavatele“, tag ponecháme na issue a jako TTL ponecháme 600, záznam bude vypadat takto:
@ 600 IN CAA 128 issue "letsencrypt.org"
Příklad 2 – určení mailu pro kontakt v případě problémů
Pokud ponecháme pole Pro adresu prázdné, jako Identifikátor CA zvolíme mailto:notice@domena.tld, zaklikneme možnost „Kritický pro vydavatele“, jako tag zvolíme iodef a jako TTL ponecháme 600, záznam bude vypadat takto:
@ 600 IN CAA 128 iodef "mailto:notice@domena.tld"