Hulpartikel overzicht

Hulpartikel

Een CAA-record instellen

In dit artikel leggen we uit hoe je een CAA-record instelt binnen de DNS instellingen van je domeinnaam.

Een CAA-record is een relatief nieuw DNS-record dat bedoeld is om aan te geven welke Certificate Authority (CA) een SSL certificaat mag uitgeven voor het betreffende (sub)domein. Bekende Certificate Authorities zijn onder meer Sectigo (voorheen Comodo) en Let's Encrypt.

Als je een CAA-record voor je root domein instelt, zal het record ook voor alle subdomeinen eronder gelden, tenzij je een apart CAA-record instelt voor een specifiek subdomein.

In het CAA-record geef je verder aan welke type SSL-certificaten de CA mag uitgeven. Dit kan zowel een Wildcard SSL-certificaat zijn als een SSL-certificaat voor het root domein of een subdomein.

Wanneer er geen CAA-record in je DNS-instellingen aanwezig is, dan zal iedere CA een SSL-certificaat mogen uitgeven voor het domein. Als er één of meerdere CAA-records in je DNS-instellingen aanwezig zijn, dan mogen alleen de CA's in deze CAA-records een SSL-certificaat voor het domein uitgeven.


Waar voeg ik een CAA-record toe?

DNS-records voeg je eenvoudig en kosteloos toe via je controlepaneel. Ga hier naar het tabblad 'Domein & Hosting' en klik in de linkerkolom op het domein waar je het CAA-record voor wilt instellen (niet aanvinken).

Scrol nu naar 'Geavanceerd Domeinbeheer', gevolgd door 'DNS'. Zie je dit nog niet terug, zet dan eerst de schakelaar om achter 'TransIP instellingen'. Je ziet daarna een overzicht terug van jouw DNS-records, die je vervolgens naar wens kan aanpassen.

Voorbeeld van een CAA-record


Hoe stel ik een CAA-record in?

Een CAA-record bestaat uit een flag, een tag en een value. De tag en de value vormen bij elkaar de property.

Een flag wordt gebruikt om aan te geven hoe belangrijk of 'critical' een property is en wordt gekenmerkt door een of een 1. In de bovenstaande afbeelding zie je een voorbeeld van een volledig CAA record.


Naam

Een CAA-record stel je in door met de naam te beginnen. Hier geef je op voor welk deel van het domein het DNS-record moet werken. Een CAA-record kun je instellen voor zowel je hoofddomein (het root domein) als een subdomein.

  • Wil je een CAA-record voor het root domein instellen, dan vul je een @ in het 'Naam'-veld in.
  • Wil je een CAA-record voor een subdomein instellen, dan vul je alleen het subdomein in het 'Naam'-veld in.
    • Onze DNS-software voegt dan het root domein automatisch op de achtergrond aan het subdomein toe.

Hieronder zie je een voorbeeld van een CAA-record voor het subdomein voorbeeld.domeinnaam.nl, waarin we de Certificate Authority Let's Encrypt toestemming geven om een SSL-certificaat uit te geven voor het subdomein.

CAA record voor subdomein


TTL

De 'TTL' van een DNS-record bepaalt hoe lang het record in de cache mag blijven staan. Wij raden aan om de TTL laag te houden, bijvoorbeeld op 5 minuten.


Type

Omdat je een CAA-record wilt instellen, kies je onder 'Type' voor 'CAA'.


Waarde

In de waarde van het CAA-record vul je opeenvolgend de flag, de tag en de value in. In het onderstaande voorbeeld zie je de flag (0), de tag (issue) en de value ("letsencrypt.org") terug.

Voorbeeld van een CAA-record

We leggen nu uit wat de verschillende elementen van een CAA-record inhouden en hoe je deze toepast.


Flags

Je kunt als flag een getal tussen 0 en 255 invoeren. Voor nu worden alleen de getallen 0 en 1 actief door CAA-records gebruikt. Hierbij is 0 non-critical en 1 critical.

Een critical flag (1) is alleen nodig als er een custom tag wordt gebruikt. Omdat voor de huidige opzet van CAA-records alleen de bestaande tags 'issue', 'issuewild' en 'iodef' worden gebruikt, voldoet het om als flag een 0 op te geven.


Tags & Values

Zoals vermeld worden op dit moment de tags 'issue', 'issuewild' en 'iodef' door CAA-records ondersteund. 


De issue tag

Met de issue tag geef je aan welke CA toestemming heeft om een SSL-certificaat voor het domein uit te geven. Dit doe je door issue als 'Tag' op te geven en de CA in aanhalingstekens als de 'Value'.

In het onderstaande voorbeeld geven we Let's Encrypt toestemming om certificaten voor het root domein (en hiermee ook de subdomeinen) uit te geven.

Voorbeeld van een CAA-record met de tag issue

Je kunt met een CAA-record ook aangeven dat Certificate Authorities geen toestemming hebben om certificaten voor het domein af te geven. Dit doe je door issue als 'Tag' op te geven en een puntkomma in aanhalingstekens als de 'Value'.

geen toestemming om een certificaat uit te geven


De issuewild tag

Door het gebruik van de issuewild tag geef je een CA toestemming om een Wildcard SSL-certificaat voor het domein uit te geven. Dit type SSL-certificaat geldt voor alle subdomeinen onder je hoofddomein, behalve voor subdomeinen die al beschikken over een apart SSL-certificaat. Dit doe je door issuewild als 'Tag' op te geven en de CA in aanhalingstekens als de 'Value'.

In het onderstaande voorbeeld geven we Sectigo toestemming om Wildcard certificaten uit te geven voor het hoofddomein.

Voorbeeld van een CAA record met de tag issuewild

Net als met de issue tag, kun je met behulp van een puntkomma ook voor issuewild een CA toestemming ontzeggen om certificaten namens het domein uit te geven. Dit doe je door issuewild als 'Tag' op te geven en een puntkomma in aanhalingstekens als de 'Value'.

Geen toestemming om een wildcard certificaat uit te geven


De iodef tag

De derde tag die je kunt gebruiken voor CAA-records is de iodef tag. Deze tag geeft de mogelijkheid om een e-mailadres in te stellen. Een CA zal dan een melding sturen naar dit e-mailadres wanneer er een SSL-certificaat wordt aangevraagd bij een CA die niet vermeld is in het record. Dit doe je door iodef als 'Tag' op te geven en mailto:email@adres.nl in aanhalingstekens als de 'Value'.

Hieronder zie je een voorbeeld van een CAA-record die de iodef tag gebruikt.

Voorbeeld van een CAA record met de tag iodef



In dit artikel hebben we uitgelegd hoe je CAA-records in je controlepaneel instelt. Voor een algemene uitleg over DNS-records en het invoeren hiervan check je het artikel 'Wat zijn DNS en nameservers?'.

Voor meer informatie over het gebruik van CAA-records, raden we je aan om de RFC hierover te lezen. 

Mocht je na het lezen van dit artikel nog vragen hebben, neem dan contact op met onze supportafdeling. Je bereikt hen via de knop 'Neem contact op' aan de onderzijde van deze pagina.

Wil je dit artikel met andere gebruikers bespreken, laat dan vooral een bericht achter onder 'Reacties'.

Heb je ook een goed idee?

Stuur jouw idee in! Met genoeg stemmen komt jouw idee op onze wishlist!

Heeft dit artikel je geholpen?

Maak een account aan of log in om een beoordeling achter te laten.

Reacties

Maak een account aan of log in om een reactie te plaatsen.

0
Nick Brouwer Admin 29 maart 2018 (#1036)

@arnofleming

Bedankt voor de oplettendheid! Het artikel is hier meteen op aangepast ;-)

1
arnofleming 28 maart 2018 (#1034)

Mocht je letsencrypt willen gebruiken in je CAA-record, het identifying domain name is letsencrypt.org (en niet letsencrypt.com zoals in de screenshots). Meer info vind je in hun docs.

@admin / @moderator voel je vrij deze reactie te verwijderen indien jullie de content aanpassen :)

0
olandese 24 maart 2018 (#1006)

Kunnen jullie ook een voorbeeld maken voor een subdomain?

Kom je er niet uit?

Ontvang persoonlijke hulp van onze supporters

Neem contact op