Hulpartikel overzicht

Hulpartikel

Ik wil een CAA record instellen

In dit artikel leggen we uit hoe je een CAA record instelt binnen de DNS instellingen van je domeinnaam.

Een CAA record is een relatief nieuw DNS-record dat bedoeld is om aan te geven welke Certificate Authorities (CA) een SSL certificaat mogen uitgeven voor het betreffende (sub)domein. Bekende Certificate Authorities zijn onder meer Comodo en Let's Encrypt.

Als je een CAA record voor het hoofddomein instelt, zal het CAA record ook voor alle subdomeinen eronder gelden, tenzij je een apart CAA record instelt voor een specifiek subdomein.

In het CAA record geef je verder aan welke type certificaten de CA mag uitgeven. Dit kan zowel een Wildcard certificaat als een certificaat voor het hoofddomein of een subdomein zijn.

Wanneer er geen CAA record in je DNS instellingen aanwezig is, dan zal iedere CA een SSL certificaat mogen uitgeven voor het domein. Als er één of meerdere CAA records in je DNS instellingen aanwezig zijn, dan mogen alleen de CA's in deze CAA records een certificaat voor het domein uitgeven.


Waar voeg ik een CAA record toe?

Je kunt al je DNS records eenvoudig en kosteloos toevoegen via je controlepaneel. Ga hier naar het tabblad 'Domein & Hosting' en klik in de linkerkolom op het domein waar je het CAA record voor wilt instellen (niet aanvinken).

Scroll nu naar 'Geavanceerd Domeinbeheer', gevolgd door 'DNS'. Zie je dit nog niet terug, klik dan eerst op 'Geavanceerd Domeinbeheer Inschakelen'. Hier zie je een overzicht terug van jouw DNS records.


Hoe stel ik een CAA record in?

Een CAA record bestaat uit een flag, een tag en een value. De tag en de value vormen bij elkaar de property. Een flag wordt gebruikt om aan te geven hoe belangrijk of 'critical' een property is en wordt gekenmerkt door een of een 1. In de onderstaande afbeelding zie je een voorbeeld van een volledig CAA record.

Voorbeeld van een CAA-record

Hier staat voor het hoofddomein waar het CAA record voor is ingesteld, het type laat zien dat het om een CAA record gaat.

In de waarde van het CAA record zie je opeenvolgend de flag (0), de tag (issue) en de value ("letsencrypt.org") terug.

Om een CAA record voor een subdomein in te stellen, voer je als naam alleen het subdomein in. Onze DNS software voegt hier op de achtergrond automatisch jouw domeinnaam aan toe.

 

Hieronder zie je een voorbeeld van een CAA record voor het subdomein voorbeeld.domeinnaam.nl.

CAA record voor subdomein


Flags

Je kunt als flag een getal tussen 0 en 255 invoeren. Voor nu worden alleen de getallen 0 en 1 actief door CAA records gebruikt. Hierbij is 0 non-critical en 1 critical.

Een critical flag (1) is alleen nodig als er een custom tag wordt gebruikt. Omdat voor de huidige opzet van CAA records alleen de bestaande tags 'issue', 'issuewild' en 'iodef' worden gebruikt, voldoet het om als flag een 0 op te geven.


Tags

Zoals vermeld worden op dit moment de tags 'issue', 'issuewild' en 'iodef' door CAA records ondersteund. 

De issue tag

De issue tag geeft aan welke CA toestemming heeft om een certificaat voor het domein uit te geven. In het onderstaande voorbeeld geven we Let's Encrypt toestemming om certificaten voor het hoofddomein (en hiermee ook de subdomeinen) uit te geven.

Voorbeeld van een CAA-record met de tag issue

Je kunt met een CAA record ook aangeven dat Certificate Authorities geen toestemming hebben om certificaten voor het domein af te geven. Dit doe je door het CAA record een puntkomma als de 'value' te geven.

geen toestemming om een certificaat uit te geven

De issuewild tag

Door het gebruik van de issuewild tag geef je een CA toestemming om een Wildcard certificaat voor het domein uit te geven. Dit type certificaat geldt voor alle subdomeinen onder je hoofddomein, behalve voor subdomeinen die al beschikken over een apart certificaat.

In het onderstaande voorbeeld geven we Comodo toestemming om Wildcard certificaten uit te geven voor het hoofddomein.

Voorbeeld van een CAA record met de tag issuewild

Net als met de issue tag, kun je met behulp van een puntkomma ook voor issuewild een CA toestemming ontzeggen om certificaten namens het domein uit te geven.

Geen toestemming om een wildcard certificaat uit te geven

De iodef tag

De derde tag die je kunt gebruiken voor CAA records is de iodef tag. Deze tag geeft de mogelijkheid om een e-mailadres in te stellen. Een CA zal dan een melding sturen naar dit e-mailadres wanneer er een certificaat wordt aangevraagd bij een CA die niet vermeld is in het record.

Hieronder zie je een voorbeeld van een CAA record die de iodef tag gebruikt.

Voorbeeld van een CAA record met de tag iodef


 

In dit artikel hebben we voorbeelden gegeven van de meest gebruikte toepassingen van het CAA record. Voor meer informatie over het gebruik van CAA records, raden we je aan om de RFC hierover te lezen. 

Mocht je aan de hand van dit artikel nog vragen hebben, benader dan onze supportafdeling. Je kunt hen bereiken via de knop 'Neem contact op' aan de onderzijde van deze pagina.

Heb je ook een goed idee?

Stuur jouw idee in! Met genoeg stemmen komt jouw idee op onze wishlist!

Heeft dit artikel je geholpen?

Maak een account aan of log in om een beoordeling achter te laten.

Reacties

Maak een account aan of log in om een reactie te plaatsen.

0
Nick Brouwer Admin 29 maart 2018 (#1036)

@arnofleming

Bedankt voor de oplettendheid! Het artikel is hier meteen op aangepast ;-)

0
arnofleming 28 maart 2018 (#1034)

Mocht je letsencrypt willen gebruiken in je CAA-record, het identifying domain name is letsencrypt.org (en niet letsencrypt.com zoals in de screenshots). Meer info vind je in hun docs.

@admin / @moderator voel je vrij deze reactie te verwijderen indien jullie de content aanpassen :)

0
olandese 24 maart 2018 (#1006)

Kunnen jullie ook een voorbeeld maken voor een subdomain?

Kom je er niet uit?

Ontvang persoonlijke hulp van onze supporters

Neem contact op