Beim letzten Test auf der SSL Labs-Website ist mir der Hinweis auf einen fehlenden CAA-Record aufgefallen. CAA steht für Certificate Authority Authorization und genau das soll damit auch erreicht werden: Der CAA-Record definiert, welcher Zertifikatsaussteller berechtigt ist, Zertifikate für die betreffende Domain auszustellen.
Für mkln.org ist das zum Beispiel „Let’s Encrypt“. Der zugehörige Record sieht daher so aus:
mkln.org. CAA 0 issue "letsencrypt.org"
Mehr Details, darunter auch die Möglichkeit, bei Verstößen gegen die CAA-Policy informiert zu werden, gibt es bei ma.ttias.be.