CAA Records: Beheer je SSL Certificaat Autoriteiten

Wat zijn CAA Records?

CAA staat voor Certificate Authority Authorization. Met CAA records geef je in je DNS aan welke certificaat autoriteiten (CA's) toestemming hebben om SSL certificaten uit te geven voor je domein.

Vergelijk het met een gastenlijst bij een beveiligde ingang:

• Je maakt een lijst van goedgekeurde bezoekers (CA's)
• De beveiliger (CA) controleert of ze op de lijst staan
• Alleen goedgekeurde bezoekers krijgen toegang (mogen certificaten uitgeven)

Hoe werken CAA Records?

Wanneer een certificaat autoriteit een SSL certificaat wil uitgeven:

1. CA ontvangt aanvraag
   Iemand vraagt een SSL certificaat aan voor jouwdomein.nl
2. CA controleert CAA records
   De CA zoekt CAA records op voor jouwdomein.nl
3. Autorisatie check
   Staat deze CA in de CAA records? Of zijn er geen CAA records?
4. Beslissing
   ✓ CA staat in lijst of geen CAA → Certificaat mag uitgegeven
   ✗ CA staat niet in lijst → Certificaat wordt geweigerd

CAA Record Structuur

Een CAA record heeft drie onderdelen:

Onderdeel	Betekenis	Voorbeeld
flags	Meestal 0 (kritiek niveau)	0
tag	Type autorisatie	issue, issuewild, iodef
value	Toegestane CA of e-mail	letsencrypt.org

CAA Tags uitgelegd

• issue - Welke CA's mogen reguliere certificaten uitgeven
• issuewild - Welke CA's mogen wildcard certificaten uitgeven (*.domein.nl)
• iodef - E-mailadres voor meldingen van overtredingen

CAA Records Instellen

Voorbeelden voor populaire CA's

Let's Encrypt toestaan:

jouwdomein.nl.  CAA  0 issue "letsencrypt.org"

Meerdere CA's toestaan:

jouwdomein.nl.  CAA  0 issue "letsencrypt.org"
jouwdomein.nl.  CAA  0 issue "sectigo.com"
jouwdomein.nl.  CAA  0 issue "digicert.com"

Wildcard certificaten beperken:

jouwdomein.nl.  CAA  0 issue "letsencrypt.org"
jouwdomein.nl.  CAA  0 issuewild ";"

Dit staat Let's Encrypt toe voor normale certificaten, maar blokkeert alle wildcard certificaten.

Met notificatie e-mail:

jouwdomein.nl.  CAA  0 issue "letsencrypt.org"
jouwdomein.nl.  CAA  0 iodef "mailto:security@jouwdomein.nl"

Veelgebruikte CA identifiers

Certificaat Autoriteit	CAA Identifier
Let's Encrypt	letsencrypt.org
DigiCert	digicert.com
Sectigo (Comodo)	sectigo.com
GlobalSign	globalsign.com
GoDaddy	godaddy.com
Amazon (AWS)	amazon.com
Google Trust Services	pki.goog
Cloudflare	digicert.com, letsencrypt.org, pki.goog

CAA en Subdomeinen

CAA records werken hiërarchisch:

• Een CAA record op jouwdomein.nl geldt ook voor www.jouwdomein.nl
• Je kunt specifieke CAA records voor subdomeinen toevoegen
• Subdomein CAA records overschrijven het hoofddomein

Voorbeeld voor specifiek subdomein:

jouwdomein.nl.      CAA  0 issue "letsencrypt.org"
shop.jouwdomein.nl. CAA  0 issue "digicert.com"

Veelgestelde Vragen

Zijn CAA records verplicht?

Nee, CAA records zijn niet verplicht. Zonder CAA records mag elke CA certificaten uitgeven voor je domein. Het toevoegen van CAA records is een optionele beveiligingsmaatregel.

Wat gebeurt er zonder CAA records?

Als je geen CAA records hebt, wordt dit gezien als "alle CA's zijn toegestaan". Elke legitieme certificaat autoriteit kan dan certificaten uitgeven voor je domein.

Blokkeert CAA alle ongeautoriseerde certificaten?

CAA beschermt alleen tegen legitieme CA's die de regels volgen. Een aanvaller met toegang tot een malafide CA zou theoretisch nog steeds een certificaat kunnen uitgeven. Maar het verhoogt wel de drempel significant.

Hoe test ik mijn CAA records?

Gebruik onze gratis domein scanner om je CAA records te controleren. Je kunt ook tools zoals dig gebruiken:

dig CAA jouwdomein.nl