CAA Records

Beim letzten Test auf der SSL Labs-Website ist mir der Hinweis auf einen fehlenden CAA-Record aufgefallen. CAA steht für Certificate Authority Authorization und genau das soll damit auch erreicht werden: Der CAA-Record definiert, welcher Zertifikatsaussteller berechtigt ist, Zertifikate für die betreffende Domain auszustellen.

Für mkln.org ist das zum Beispiel „Let’s Encrypt“. Der zugehörige Record sieht daher so aus:

mkln.org.  CAA 0 issue "letsencrypt.org"

Mehr Details, darunter auch die Möglichkeit, bei Verstößen gegen die CAA-Policy informiert zu werden, gibt es bei ma.ttias.be.