CAA záznamy

Certifikační autority musí před vystavením SSL certifikátu zkontrolovat, zda jsou v DNS pro každou doménu uvedenou v žádosti o SSL certifikát přítomné záznamy typu CAA (TYPE 257) a pokud ano, zda tyto záznamy dané certifikační autoritě nebrání ve vystavení SSL certifikátu.

Tip

Nastavení CAA záznamů není pro získání SSL certifikátu nezbytné. Pokud si tedy nejste jisti, jak s CAA záznamy pracovat, jednoduše je nepoužívejte a případné již existující CAA záznamy z DNS odeberte.

Jak na CAA u subdomén?

Certifikační autorita nejprve zjišťuje přítomnost CAA záznamů u všech subdomén (domén III. řádu, IV. a nižších řádů) uvedených v žádosti o SSL certifikát a pokud žádné nastavené nejsou, postupuje až k doméně II. řádu.

Například pro doménu IV. řádu client.secure.ssls.cz bude certifikační autorita zjišťovat přítomnost CAA záznamů v DNS v tomto pořadí:

client.secure.ssls.cz — status: NOERROR, CAA záznamy: žádné
↳ secure.ssls.cz — status: NOERROR, CAA záznamy: žádné
↳ ssls.cz — status: NOERROR, CAA záznamy: žádné nebo správné
↳ OK — SSL certifikát může být vystaven

K těmto systematickým krokům však dojde pouze pokud DNS server nevrátí žádné CAA záznamy, zatímco DNS v hlavičce vrátí status: NOERROR. Nastane-li situace, kdy DNS server nevrátí žádné CAA záznamy (což je jinak v pořádku), ale v hlavičce DNS odpovědi je zároveň například status: SERVFAIL či status: REFUSED, pak certifikační autorita bude považovat informaci o nepřítomnosti CAA záznamů za nespolehlivou a k vystavení SSL certifikátu nedojde, dokud nebude konfigurace DNS serveru opravena.